Veri Otoritesinin Banka Sisteminde Tutulan Gerçeğe Aykırı Kişisel Verilere İlişkin Kararı (Vaka Çalışması 1)
Somut olayda şikayetçi bir başka kişiyle beraber mortgage kredisi çekmiştir ve ev almışlardır. Şikayetçi ile üçüncü kişi mortgage alınan evden taşınmıştır ve artık beraber oturmamaktadırlar. Bankanın bundan haberi olmasına rağmen şikayetçiye kredi ile ilgili tebligatı eski adreslerine yapmış ve bu tebligatı eski adreste kalan kiracılar açmıştır.
Banka şikayete cevap olarak tebligat otomasyon yazılımının tek bir adres bulunacağı varsayımıyla yazıldığı, iki farklı adres bulunması halinde sistem dışı yapılan tebligatlarda sorun çıkabildiğini söylemiştir.
Kurum GDPR yükümlülükleri dahilinde veri sorumlularının regülasyonda belirtilen ilkelere uymaları gerektiğini belirtmiş, özellikle kişisel verilerin doğru ve güncel olması gerektiğinin ve kişisel verilerin güvenliğinin sağlanması gerektiğinin önemi vurgulanmıştır.
Kurum, Bankanın veritabanında ilgili kişinin yeni adresini gerektiği gibi doğru ve güncel tutmadığını ve tebligatın yanlış adrese yollanmasını önleyecek güvenlik tedbirleri bulunmadığını belirtmiştir ve bankayı sorumlu tutmuştur.
Veri Otoritesinin, Veri Sorumlusuna Yapılan Talebe Zamanında Cevap Verilmemesine Dair Kararı (Vaka Çalışması 2)
Somut olayda şikayetçi veri ilgilisinin kendisine ilişkin işlediği tüm kişisel verilerin bir kopyasını talep etmiş ve veri sorumlusuna başvuruda bulunmuştur. Bu başvuru üzerine veri sorumlusu veri ilgilisine ait kişisel verilerin internet sitesinde yer aldığını, veri sorumlusunun işyerine incelenebilecek şekilde bulunduğunu söylemiş ve herhangi bir kopya yollamamıştır.
Bu cevaptan tatmin olmayan şikayetçi ayrıca işyerinde tutulan kişisel verilerin kendisine ait işlenen kişisel verilerin tamamı olmadığını, kendisi adına daha fazla verinin tutulduğunu iddia etmiştir.
Veri sorumlusu cevabında şikayetçinin kendisine ait olan kamuya açık verilere erişim talebinde bulunduğunu düşünmüş ve bu sebeple diğer toplanan kişisel verileri paylaşmadığını söylemiştir.
Veri otoritesi bu tutumu erişim hakkını içeren GDPR’ın 15. Maddesine, verisi işlenen tarafından yapılan başvurulara cevap verilecek süreleri içeren 12. Maddesinin 3. fıkrasına aykırı olduğunu belirtmiştir.
Veri Otoritesinin İşyerinde Güvenlik Kameralarının Kullanımına İlişkin Kararı (Vaka Çalışması 3)
Otoriteye yapılan şikayette şikayetçinin çalışma alanında performansın ölçülmesi amacıyla işveren veri sorumlusunun güvenlik kameraları bulunduğu ifade edilmiştir.
Şikayet zamanında veri sorumlusunun güvenlik kamerası politikası bulunduğu ve bu politikanın amacının iş güvenliğinin sağlanması amacı olduğu belirtildi ise de, yapılan bir toplantı sırasında yöneticilerden biri bu kameranın amacının tamamen şikayetçinin iş performansının ölçülmesi amacıyla konulduğunu söylemiştir. Bu durum şikayet zamanında halihazırda bulunan politika ile çelişmektedir.
Kuruma göre politikada belirtilen sınırları aşan bir işleme faaliyeti bulunması halinde bu işleme faaliyeti asıl amaçla ilgili olmalıdır. Somut olayda performans için yapılan işleme faaliyeti asıl işleme faaliyeti olan iş güvenliğinden tamamen bağımsızdır.
Olay ile ilgili başka bir hususta güvenlik kamera kayıtlarına erişim sırasında herhangi bir giriş bilgisi istemediği gibi ayrıca erişim logunun tutulmadığı tespit edilmiştir. Kurum bu eksiklikleri GDPR’ın Veri Sorumlusunun güvenlik önlemleri alması gerektiğine dair 32. Maddesine aykırı bulmuştur.
Bu olaydan sonra veri sorumlusu bu bilgisayarı kaldırmış ve kameraya erişimi tek bir personele indirmiştir, ayrıca kayıtlara sadece iş kazalarında ve güvenlik amacıyla erişilmeye başlanmıştır.
Bu tip durumlar için önemli olan yükümlülük kişisel verilerin adil bir şekilde işlenmesi (Madde 5(1)(a)) ve belirli amaç dahilinde amaç aşılmadan işlenmesidir(Madde 5(1)(b). Ayrıca, veri güvenliğinin sağlanması için uygun güvenlik önlemleri alınmalıdır. (Madde 5(1)(f) ve Madde 32)
Veri Otoritesinin İşyerinde Güvenlik Kameralarına Erişimeine İlişkin Kararı (Vaka Çalışması 4)
Somut olayda ilgili kişi, veri sorumlusuna ait eğitim kurumunda saldırıya uğramış, bu saldırı anına dair kamera kayıtlarını veri sorumlusundan talep etmiştir. Bu talep üzerine veri sorumlusu kayıtlara ait kesitleri ilgili kişiye iletmiştir. İlgili kişinin kayıtların tamamını istemesi üzerine veri sorumlusu önemli kısımların tamamının ilgili kişiye verildiğini ayrıca kayıtların 30 günlük süreyle tutulduğunu, eski kayıtların silindiğini bu sebeple artık erişimin mümkün olmadığını belirtmiştir.
Kurum, ilgili kişi başvurularına makul bir sürede cevap verilmesi gerektiğinden bahsetmiş (GDPR 12. Maddesinin 3. Fıkrasına göre bu süre genelde 1 aydır). Ayrıca GDPR ile beraber eklenen kişisel verilere erişim hakkının önemine vurgu yapmış ve kamera kayıtlarına ilgili kişinin erişim talep etmesi halinde kaydın kopyasının verilmesi gerektiğini, istisnai hallerde kayıtların kesitlerinin verilebileceğini söylemiştir. Kaydın tamamının verilememesi halinde veri sorumlusu kayıtlarda ilgili kişinin bulunduğu bütün kesitleri vermeli ve tüm kaydın verilmesinin neden mümkün olmadığı konusunda bilgilendirilmesi gerekmektedir. Ayrıca veri sorumlusu, ilgili kişinin kişisel verilerle ilgili talepte bulunması halinde kayıtları kaydetmeli ve ilgili kişinin talebine verilen cevabı ilgili kişi uygun bulana kadar saklamalıdır.
Veri sorumlusu somut olayda bu yükümlülükleri hem süre açısından hem de verilerin bütünlüğünün sağlanması açısından yerine getirmediğinden kusurlu bulunmuştur. (GDPR Madde 12(3), Madde 15)
Veri Otoritesinin Veri Sorumlusunun Kişisel Verilere Erişim Talebini Reddetmesi Halinde Gerekçe Verme Zorunluluğuna Dair Kararı
(Vaka Çalışması 5)
Somut olayda Şikayetçi veri sorumlusu Emlak Yönetim Şirketinde konutunun bulunması sebebiyle kişisel verilerine erişim talep etmiştir. Şikayetçi talebinin yerine getirilmediğini iddia etmiştir.
Kurumun incelemesi sonrasında öğrenildiğine göre Veri Sorumlusu hukuki sebeplerden ötürü şikayetçiye kendisi hakkında verilerin hepsine ulaşım sağlanamayacağını söylemiştir bunun dışındaki tüm verilere erişim verdiğini söylemiştir.. Şikayetçinin işlenen verileri hakkında sorduğu sorulara cevap olarak sorularda belirtilen verilerin tutulmadığını söylemiştir. Ancak şikayetçinin hukuki sebeplerden ötürü erişim sağlanamayan belgenin hangi hukuki sebeple erişim sağlanmadığı sorusuna Veri Sorumlusu Kurum incelemesine kadar cevap vermemiştir.
Kurum, hukuki sebebin bulunması sebebiyle işlenen verilerin hepsinin veri ilgilisine gösterilmemesini hukuka uygun bulmuştur ancak bu sebebin belirtilmesi gerektiğini söylemiştir.
Kurumun Özel Nitelikli Kişisel Verilerin İşlenmesine Yönelik Kararı
(Vaka Çalışması 6)
Somut olayda şikayetçinin sağlık verilerinin işveren tarafından işlenmesinden ve şikayetçinin çalıştığı bayinin içerisinde paylaşılmasından hoşnutsuz olmuş ve şirket içerisindeki üst düzey bir yetkilliye durumu bildirmiştir. Bunun üzerine yetkili kişisel verilere dair yapılan paylaşım faaliyetinin sadece gerekli verilerle sınırlı olduğunu belirtmiştir.
Kurum bir kişinin kişisel verileri, bir veri sorumlusu tarafından işlendiğinde, veri sorumlusunun yerine getirmesi gereken bazı yasal gereklilikler bulunmaktadır. Bu şikayetle özellikle ilgili olan yükümlülükler (1) kişisel verileri adil bir şekilde işleme; (2) bu tür verileri belirli amaçlar için elde etmek ve bu amaçlarla bağdaşmayan bir şekilde daha fazla işlememek; (3) verilerin ilgili ve yeterli olması ve veri denetleyicisinin bunları, toplanma amacına ulaşmak için gerekenden fazlasını işlememesi; ve (4) kişisel verilerin uygun güvenliğini sağlamak olduğunu belirtmiştir.
Şirketin performans hesaplamak ve çalışanların işe geldiği günleri takip etmek için sağlık verilerini işlemesinde Kurumun herhangi bir ihlal bulunmadığını belirtmiştir. Ancak tedarikçi insan kaynakları firmasına yapılan aktarmanın gereğinden fazla ve amaçla uygun olmadığını belirtmiş ve alınan güvenlik önlemlerini yeterli bulmamıştır.
Kurumun İşleme Amacının Aşılmasına Yönelik Verdiği Karar
(Vaka Çalışması 7)
Somut olayda şikayetçi ilgili kişi ve veri sorumlusu da avukattır. Veri sorumlusu şikayetçi ile vekaletname ilişkisi kurmuştur ancak kurulan bu ilişki sonradan bozulmuştur. Bozulmanın ardından veri sorumlusu ilgili kişi hakkında İrlanda Hukuk Derneğine şikayette bulunmuştur ve bu bağlamda Hukuk Derneğine ilgili kişi hakkında dair bir takım verileri paylaşmıştır. Bunun üzerine şikayetçi Hukuk Derneğine veri aktarılmasını veri koruma otoritesine şikayet etmiştir.
Veri koruma otoritesi takip eden işleme faaliyetinin hukuki hizmet sağlanması amacından farklı olduğunu tespit etmiştir. Ancak işleme faaliyetinin farklı olması asıl faaliyetle uyumsuz olduğu anlamına gelmemektedir. Somut olayda şikayetçiye karşı yapılacak olan disiplin işlemleri bağlamında toplanan kişisel verilerin ilgili kuruma aktarılması uygunsuz değildir. Çünkü Veri Sorumlusu, kanun gereğince meslektaşının avukatlık mesleğine uymayan davranışlarda bulunması halinde derneğe şikayet etmek zorundadır.
Takiben veri koruma otoritesi İrlanda Hukuk Derneğinin avukatlarla ilgili soruşturma yetkisi olduğunu belirtmiş ve şikayetçi hakkında kişisel verilerin derneğe aktarılmasını hukuka uygun bulmuştur.
Daha Fazla okuma için:
https://www.eralp.av.tr/sgk-e-tebligat-yonetmeligi-hakkinda-inceleme/
https://www.eralp.av.tr/bilimsel-yayinlarin-kvkk-kapsamindaki-degerlendirilmesi/