İşçinin Özel Nitelikli Kişisel Verileri

İşçinin Özel Nitelikli Kişisel Verileri

Özel nitelikli kişisel veriler, gerçek kişiye ait olan, öğrenilmesi halinde ilgili kişinin ayrımcılığa uğraması tehlikesini içinde barındıran verilerdir. Bu noktada, özel nitelikli kişisel veriler için özellikli koruma mekanizması mevcuttur. Çalışma hayatı içerisinde işverenin işçiye ait kişisel verileri temin etmesi ve saklaması (işlemesi) bazen mevzuat gereği bazen de hayatın olağan akışı içerisinde mümkün olmakla birlikte, iş ilişkisi özel nitelikli kişisel veri koruması için istisnai bir durum oluşturmamaktadır.

İşbu yazımıza konu olan Kişisel Verileri Koruma Kurulu’na (“Kurul”) işçi tarafından işvereni hakkında yaptığı bir şikayettir. Bu şikayet işçinin özel nitelikli kişisel verilerinin güvenliğinin ihlal edildiği iddiasına ilişkindir. Kurul, işverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı bir şekilde işlemesi ile ilgili dosya hakkında 20.05.2020 tarihli ve 2020/404 numaralı kararı (“Karar”) yayımlamıştır. Karar’da işveren aleyhine yaptırım öngörülmüştür.

Bu çalışmamızda Karar üzerinde inceleme yapmak isteriz.

I. Şikayetin Temel Noktaları

Öncelikle, işçi tarafından işveren hakkında yapılan şikayetin temel noktalarından bahsetmek isteriz. İşçi:

(a) Kanun’un 11. maddesi kapsamındaki haklar ile ilgili bilgi talebinde bulunulmasına rağmen söz konusu talebin yeterli düzeyde cevaplandırılmadığı,
(b) Kişisel verilerin işlenme amacıyla ilgili genel geçer bilgilendirme yapıldığı, verilerin işlenme ve saklanma süreçleriyleilgili bilgilendirilme yapılmadığı,
(c) Kişisel verilerin işlendiği yazılım programlarının mevcut olması ancak bu programlara kimlerin erişiminin olduğu, yetki matrisi olup olmadığı konusunda bilgilendirmenin yapılmadığı, ayrıca ilgili programlarda saklanan verilerin ne kadar süre sonra silindiğine dair bilgi verilmediği yani veri imha politikasının belirsiz olduğu,
(d) Elektronik ortamda kvkk çalışma muvafakatnamesinin çok kapsamlı olduğu ve bu konuda yeterli aydınlatmanın yapılmadığı, verilen rızanın “battaniye rıza” olduğu ve bu metne zorla onay verdirildiği,
(e) Tüm çalışanlardan parmak izi alındığı ve bu veriyi vermek zorunda bırakıldıkları, parmak izi alınması esnasında çalışanların açık rızalarının alınmadığı ve aydınlatma yükümlülüğünün yerine getirilmediği,
(f) Biyometrik verilerin üçüncü taraflarla paylaşılıp paylaşılmadığı konusunda bilgi verilmediği,

gerekçeleriyle şikayette bulunmuştur.

II. Veri Sorumlusunun Savunma Yazısı

Kurul tarafından şikayetin veri sorumlusu sıfatında olan işverene tebliğ edilmesiyle birlikte işverenden savunma yazısı talep edilmiştir.

Veri sorumlusu: “ilgili kişinin hangi kişisel verilerinin hangi amaçlarla işlendiğine dair detaylı bilgi verildiği, fiziki dosyaların yalnızca yetkili kişilerin erişimine açık olduğu, şirket içinde rastgele ve periyodik denetimler yapılarak bu ortamlara yetkisiz giriş ve çıkışların engellendiği, açık rıza metinlerinin usulüne uygun düzenlendiği, çalışan muvafakatnamesinin ve açık rıza metninin her çalışana imzalatıldığı şayet çalışan tarafından onay verilmemesi halinde özlük dosyasının tamamlanmamış kabul edildiği, çalışanların parmak izlerinin acil durum yönetim süreçlerinin yürütülmesi ve fiziksel mekan güvenliğinin temini amacıyla kullanıldığı parmak izlerinin kriptografik yöntemlerle muhafaza edildiği bu sebeple bu verilerin biyometrik veri niteliği taşımadığı” şeklinde savunma vermiştir.

III. Karar Özeti

Veri sorumlusunun savunma yazısına istinaden Kurul, gerekli inceleme ve araştırma faaliyetlerini yürütmüş ve bu yazımıza konu Karar’ı vermiştir.

Kurul, KVKK ve diğer mevzuat hükümleri anlamında çokça atıf yaparak emsal nitelikte olan Karar’a imza atmıştır. KurulKarar’ının özet nitelikteki ana başlıklarını işbu başlık altında derleyeceğiz:

· İlgili kişinin bilgi talebinde bulunmasına rağmen KVKK’nın 11. maddesi kapsamında bilgi taleplerine yeterli düzeyde veusulüne uygun cevap verilmemesi,
· Kişisel verilerin işlendiği yazılım programlarının söz konusu olması ancak bu programlara kimlerin erişiminin olduğu, yetki matrisi olup olmadığına dair bilgilendirmenin yapılmaması, ayrıca ilgili programlarda saklanan verilerin imha politikası konusunda hiçbir bilginin verilmemesi,
· Elektronik ortamda KVKK çalışma muvafakatnamesinin çok kapsamlı olması ve bu konuda yeterli aydınlatmanın yapılmaması, verilen rızanın “Battaniye Rıza” olması ve bu muvafakatnameye zorla onay verdirilmesi,
· Tüm çalışanlardan parmak izi alınması ve çalışanların bu veriyi vermek zorunda bırakılması, parmak izi alınması esnasında çalışanların açık rızalarının alınmaması ve aydınlatma yükümlülüğünün yerine getirilmemesi,
· Biyometrik verilerin üçüncü taraflarla paylaşılıp paylaşılmadığı konusunda bilgi verilmemesi,

ihlal niteliğinde olduğu sonucuna varılmıştır.

Kurul:

(a) veri sorumlusunun aydınlatma metni ve açık rıza metinlerini kendilerinden istemesine rağmen cevap dilekçelerinde hiçbir belgenin ibraz edilmediği,
(b) kişisel verilerin işlenmesine ilişkin çalışan muvafakatnamesinin hem aydınlatma metni hem de açık rıza metni olarak düzenlenmesinin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5. maddesine istinaden usulü aykırı olduğu,
(c) aydınlatma ve rıza metinlerinde; “sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın” ibaresininkullanılmış olmasının muğlaklığa sebebiyet vermesi,
(d) verilerin aktarımı konusunda “uygun gördüğü diğer üçüncü kişilerle ve/veya yurtdışında paylaşılabileceği” ibaresinin kullanılmış olması sebebiyle kimlere aktarım yapılacağının belirsiz bir şekilde veri sorumlusunun inisiyatifine bırakılmış olması,
(e) biyometrik veri niteliğini haiz olan parmak izinin veri kategorileri içerisinde sayılmamış olması,

gerekçelerine binaen;

· Veri sorumlusuna, aydınlatma yükümlülüğünü yerine getirmediğinden KVKK’nın 18/1-a maddesine istinaden 50.000 TL idari para cezası uygulanmasına,

· Veri sorumlusunun çalışanlarının açık rızaları olmaksızın kişisel verileri ve özel nitelikteki kişisel verileri işlediği, kişiselverileri çalışanların rızası olmaksızın yurtiçi ve/veya yurtdışına aktardığı tespit edildiğinden KVKK’nın 18/1-b maddesine istinaden 200.000 TL idari para cezası uygulanmasına karar verilmiştir.

IV. Sonuç

Kurul’un değerlendirmeleri incelendiği takdirde özellikle kişisel veri ve özel nitelikteki kişisel verilerin işlenmesi, aktarılması, imhası ve bu verileri konusunda ilgili kişinin aydınlatılması işlemlerinin KVKK’ya uygun bir şekilde yerine getirilmesini ve sadece bununla sınırlı kalmaksızın bu konularda ilgili kişilerin bilgi talebinde bulunması halinde aynı şekilde KVKK’ya uygun bir şekilde cevap verilmesi gerektiği konusunda azami hassasiyet gösterdiğini söylemek mümkündür.

Ayrıca veri sorumlusunun ilgili kişiden rıza alırken azami özen ve dikkat unsurlarına riayet etmesi gerektiğini belirtmiş, özellikle uygulamada sıkça görülen ve battaniye rıza diye tabir edilen tüm veri işleme faaliyetlerinin tek bir rızada toplanması veyahut rıza iradesi açıklanırken her türlü kişisel veri, her türlü aktarım gibi muğlak ve usulen uygun olmayan rızaların alınmaması gerektiğine vurgu yapmıştır.

Av. Oğuz Kara (kara@oguzkara.av.tr)

Av. Serhat Timur

Languages »