İrlanda Veri Koruma Otoritesi’nin Kişisel Verilerin Korunmasına İlişkin Yayınlamış Olduğu Vaka Çalışmalarının Türkçe Özetleri

Kurumun Tıbbi Verileri İşlerken Alınacak Uygun Yöntemlere İlişkin Kararı (Vaka Çalışması 8)

Somut olayda şikayetçinin eşi, oğullarının bakımıyla ilgilenen pratisyen hekime bilgi edinme talebinde bulunmuştur. Akabinde Pratisyen hekim, şikayetçinin oğlunu ve ayrıca şikayetçinin kendisini tedavi eden bir diğer doktorla bilgi edinme talebiyle ilgili iletişime geçmiştir. Bu doktor, pratisyen hekimin mektubuna yanıt vermiştir ve yanıtında pratisyen hekimin hastası olmayan şikayetçinin tıbbi bilgilerini de ifşa etmiştir. Akabinde İrlanda Veri Koruma Kurumu, veri sorumlusunun  İrlanda Sağlık Otoritesi olduğunu tespit etmiştir. Şikayete cevaben veri sorumlusu, verileri ifşa eden doktorun, şikayetçinin de pratisyen hekimin hastası olduğuna inanarak verileri hataen ifşa ettiğini bildirmiştir. İrlanda Sağlık Otoritesi, pratisyen hekime kendisine hataen iletilen verilerle ilgili de gizlilik yükümlülüklerine tabi olacağını bildirmiştir. 

Kurum, veri sorumlusunun kişisel verileri işlediği zaman uyması gereken birtakım yasal gereklilikler olduğunu bildirmiştir. Somut olayda özellikle; kişisel verileri adil bir şekilde işleme ve yetkisiz işlemeye karşı koruma sağlamak için uygun güvenlik önlemlerine sahip olma yükümlülükleri söz konusudur. Kurum ayrıca, kişisel verilerin tıbbi nitelikte olması ve dolayısıyla mevzuat kapsamında artan korumadan faydalanması nedeniyle, uygun güvenliğin ne olduğu konusunda karşılanması gereken standardın, genel olarak kişisel veriler için geçerli olandan daha yüksek olduğunu kaydetmiştir. Kurum, veri koruma mevzuatı kapsamında sağlık verilerine sağlanan artan koruma nedeniyle, yalnızca belirli koşulların yerine getirilmesi durumunda bu verilerin işlenebileceğini doğrulamıştır.

Somut olayda Kurum, veri sorumlusunun gerekli önlemleri alıp almadığını incelemiştir. Söz konusu doktor emekli olduğu için veri sorumlusunun ifşa ile ilgili kontrol önlemlerini ele alamadığı tespit edilmiştir. Sağlık verilerinin işlenmesi için gerekli koşulların karşılanıp karşılanmadığı noktasında ise veri sorumlusunun kişisel verilerin ifşası için herhangi bir yasal dayanak ortaya koymaması nedeniyle veri koruma mevzuatını ihlal ettiğine karar verilmiştir.

GDPR(AB Genel Veri Koruma Yönetmeliği)’nin 5(1)(f) Maddesinde, kişisel verilerin güvenliğini sağlama yükümlülüğü, 32. maddede ise güvenliği sağlamak için veri sorumlusunun ve veri işleyenin uygun teknik ve organizasyonel önlemleri uygulama yükümlülüğü belirtilmiştir. Kurum, uygun güvenlik önlemlerini değerlendirirken veri sorumluları ve  veri işleyenlerin diğer önlemlerin yanı sıra, işlemenin niteliğini, kapsamını, bağlamını ve amacını ve ayrıca veri sahipleri için değişen olasılık ve önem riskini dikkate alması gerektiğini bildirmiştir. Bu bağlamda, GDPR’nin 9. Maddesi kapsamında “özel bir kişisel veri kategorisi” olan sağlık verilerinin, doğası gereği temel hak ve özgürlüklere ilişkin olarak özellikle hassas olduğunu ve özel bir korumayı hak ettiği kabul etmektedir. Veri sorumlusunun hataen ve hukuka aykırı olarak kişisel veriyi ifşa etmesi durumunda, GDPR’nin 33. maddesine yer alan, durumun gecikmeksizin ilgili kişiye iletilmesi yükümlülüğünü yerine getirmesi gerekmektedir.

Kurumun Uygun Güvenlik Önlemlerine İlişkin Kararı (Vaka Çalışması 9)

Somut olay, şikayetçinin ortağı tarafından bankaya elden teslim edilen ve şikayetçinin banka hesabına ilişkin birkaç yazışmanın kaybolduğu iddiasıyla ilgilidir. Bankanın, şikayetçiye bankacılık hizmetleri sağlamasıyla bağlantılı olarak şikayetçinin kişisel verilerinin içeriğini ve kullanımını kontrol etmesi nedeniyle veri sorumlusu olduğu Kurum tarafından tespit edilmiştir.  Söz konusu veriler şikayetçinin adı, adresi ve banka hesap bilgilerinden oluşmakta olup, şikayetçinin bu bilgilerden tanımlanabilmesi ve şikayetçi ile bir birey olarak ilgili olması nedeniyle kişisel veridir. Şikâyetin incelenmesi sırasında veri sorumlusu, ilgili belgelerin banka içinde yanlış yerleştirildiğini, bankanın dışında herhangi bir kişisel veri sızıntısı olmadığını ve bu nedenle kişisel veri ihlali olmadığını ileri sürmüştür. 

Kurum, bu olayda kişisel veriler için uygun güvenlik önlemlerinin alınmasının veri koruma kanunu kapsamında önemli bir gereklilik olduğunu bildirmiştir. Kaybolan yazışmalarda yer alan kişisel verilerin (şikayetçinin adı, adresi ve banka hesap bilgileri) niteliğini değerlendirmiş ve bu bilgilerin yanlış yerleştirilmesinin şikayetçi ve şikayetçinin mali işleri için önemli risk oluşturma potansiyeline sahip olduğunu kaydetmiştir. Veri sorumlusunun uyguladığı güvenlik önlemleri, işlenen kişisel verilerin niteliği göz önüne alındığında yeterli görülmemiştir. Sonuçta, veri sorumlusunun şikayetçinin kişisel verilerini korumak için uygun organizasyonel ve güvenlik önlemleri almadığı ve bu nedenle de veri sorumlusunun veri koruma yasasına uygun hareket etmediği tespit edilmiştir.

Kurumun Veri Sorumlusunun Meşru Menafaati Dolayısıyla Veri İşlemesinin Zorunlu Olmasına İlişkin Kararı (Vaka Çalışması 10)

Somut olayda şikayetçi, alışveriş merkezinde bulunan bir mağazanın çalışanıdır ve alışveriş merkezinin otoparkında otopark ücretinin ödenmesiyle ilgili bir olaya karışmıştır. Olayın ardından otopark yöneticisi, şikayetçinin işverenine şikayette bulunmuştur ve CCTV görüntüleri şikayetçinin işverenine verilmiştir. Şikayetçi, CCTV görüntülerinin ifşasının yasal olup olmadığının incelenmesi için konuyu Kurum’a iletmiştir. Alışveriş merkezinin, CCTV görüntülerini şikayetçinin işverenine ifşa etmesi ve şikayetçinin kişisel bilgilerinin içeriğini ve kullanımını kontrol etmesi nedeniyle veri sorumlusu olduğu tespit edilmiştir. Söz konusu veriler, şikayetçinin görüntülerinden oluşmakta olup, bireysel olarak şikayetçi ile ilgili olduğu ve şikayetçinin kimliği buradan tespit edilebildiği için kişisel veridir. 

Veri sorumlusu, CCTV görüntülerini şikayetçinin işverenine ifşa etmekte meşru menfaati olduğunu ileri sürmüştür. Söz konusu olayda veri sorumlusunun dayanabileceği yasal dayanaklardan biri, işlemenin veri sorumlusunun meşru menfaati için gerekli olmasıdır. Alışveriş Merkezi, somut olayda verileri işlemekte meşru menfaati bulunduğunu ileri sürmüştür. Kurum, veri sorumlusunun şikayetçinin kişisel verilerini ifşa etmesinde meşru menfaati olduğunu kabul etmiştir. Ancak CCTV görüntülerini şikayetçinin işverenine bu meşru menfaatlere dayanarak ifşa etmesinin “gerekli” olmadığını bildirmiştir. Bunun nedeni, veri sorumlusu alışveriş merkezi tarafından istihdam edilen otopark görevlisinin, şikayetçinin işverenini dahil etmeye gerek kalmadan, meşru menfaatler doğrultusunda şikayetçi aleyhine adım atma yetkisine sahip olmasıdır. Örneğin, otopark görevlisi, şikayetçinin işverenini dahil etmeden şikayetçinin otoparkı kullanmasını yasaklama konusunda takdir yetkisine sahiptir. Dolayısıyla Kurum, veri sorumlusunun olayı şikayetçinin işverenine bildirmesinin ve CCTV görüntülerini iletmesinin gerekli olmadığına karar vermiştir. 

GDPR’nin 6. Maddesi uyarınca, kişisel veriler ancak yasal bir dayanağın var olması durumunda işlenebilir. Böyle bir yasal dayanak, veri sorumlusu veya üçüncü bir taraf tarafından izlenen meşru menfaatlerin amacı için gerekli olduğu takdirde ve gerekli olduğu ölçüde işlemenin yasal olduğunu sağlayan Madde 6(1)(f) kapsamındadır. Ancak veri konusu kişinin temel hak ve özgürlüklerini geçersiz kılan meşru menfaatler geçersizdir. Veri sorumluları, yalnızca kişisel verilerin işlenmesinde meşru bir menfaat olduğunu göstermenin yeterli olmadığının farkında olmalıdır; ayrıca söz konusu verilerin işlenmesinin meşru menfaat kapsamında  gerekli olması ve bu amaçla sınırlı olması gerekmektedir.

Kurumun Sözleşmenin İfası için İşlemenin Gerekli Olmasına İlişkin Kararı (Vaka Çalışması 11)

Somut olayda şikayetçi, çalıştığı binanın otoparkında meydana gelen bir olaya karışmıştır. Otopark yöneticisi tarafından şikayetçinin işverenine şikayette bulunulmuş ve olayın CCTV görüntüleri şikayetçinin işvereni tarafından elde edilmiştir. Otoparkta meydana gelen bu olay nedeniyle şikayetçi hakkında disiplin soruşturması başlatılmıştır. Şikayetçinin yöneticisi ve şikayetçinin diğer meslektaşları CCTV görüntülerini disiplin soruşturması bağlamında izlemiştir. Şikayetçinin işvereni, şikayete ilişkin kişisel verilerin içeriğini, kullanımını, şikayetçinin istihdamını yönetmek ve disiplin kovuşturmalarını yürütmek amacıyla kontrol ettiğinden, şikayetle ilgili veri sorumlusudur. Söz konusu veriler, şikayetçinin görüntülerinden oluşmakta olup, bireysel olarak şikayetçi ile ilgili olması ve şikayetçinin kimliği buradan belirlenebilir olması nedeniyle kişisel veridir.

Şikayete cevaben veri sorumlusu, CCTV görüntülerinin şikayetçinin iş sözleşmesinin bir parçasını oluşturan çalışan davranış kurallarını uygulamak için kullanılması nedeniyle şikayetçinin kişisel verilerini işlemek için yasal bir dayanağı olduğunu ileri sürmüştür. Ayrıca, şikayetçinin dahil olduğu olayın ciddi olması nedeniyle, veri sorumlusunun olayı, şikayetçinin iş sözleşmesinde atıfta bulunulan şirket disiplin politikasına uygun olarak araştırmasının gerekli olduğunu belirtmiştir. Veri sorumlusu, CCTV görüntülerinin söz konusu olayla sınırlı olduğunu ve disiplin sürecine dahil olan sınırlı sayıda personelin bunları görüntülediğini savunmuştur.

Kurum görüşünde, veri koruma mevzuatında verisi işlenen kişinin taraf olduğu sözleşmenin ifası için verilerinin işlenmesinin gerekli olduğu durumlarda kişisel verilerin işlenmesine izin verdiğini belirtmiştir. Veri sorumlusu, CCTV görüntülerinin kullanımının şikayetçinin iş sözleşmesinin ifası için gerekli olduğunu belirtmiştir. Ancak Kurum, veri sorumlusunun bu sözleşmeyi yerine getirmek için şikayetçinin CCTV görüntülerinde yer alan kişisel verilerini işlemesinin ‘gerekli’ olmadığı görüşündeydi. Kurum, veri sorumlusunun bu argümanı ileri sürebilmesi için şikayetçinin kişisel verilerini işlemeden iş sözleşmesinin yerine getiremeyeceğini göstermesi gerektiğini belirtmiştir. Veri sorumlusu, Kurum’u bu konuda ikna edemediğinden veri koruma mevzuatını ihlal ettiğine karar verilmiştir.

Kurum ayrıca, kişisel verileri işlemek için yasal bir dayanağa sahip olma gerekliliğine ek olarak, veri sorumlusunun kişisel verileri işlerken uyması gereken bazı yasal ilkeler olduğunu da kaydetmiştir. Bu ilkeler; kişisel verileri işlemenin elverişli, işlendiği amaçla ilgili ve işlendiği amaçla sınırlı olması gerektiğini vurgulamıştır. Kurum, veri sorumlusunun CCTV görüntülerinin söz konusu olayla sınırlı olduğu ve disiplin sürecine dahil olan sınırlı sayıda personelin fotoğrafları görüntülediği yönündeki argümanını kabul etmiştir. Ancak, veri sorumlusunun CCTV görüntülerini kullanmasının neden gerekli olduğunu gösteremediği görüşündedir. Dolayısıyla, veri sorumlusu tarafından ayrıca bir mevzuat ihlali söz konusu olmuştur.

GDPR’nin 6. Maddesi uyarınca, kişisel veriler ancak bunun için yasal bir dayanağın olması durumunda işlenebilir. Bu tür bir yasal dayanak, veri öznesinin taraf olduğu bir sözleşmenin ifası için gerekli olduğu takdirde ve gerekli olduğu ölçüde işlemenin yasal olduğunu sağlayan Madde 6(1)(b) kapsamındadır. Bununla birlikte, veri sorumluları, kişisel verilerin işlenmesi için yalnızca sözleşmeye dayanmanın  yeterli olmadığının farkında olmalıdır; Madde 5(1)(c) ve 6(1)(b), veri sorumlularının söz konusu işlemenin sözleşmenin ifası amacıyla “gerekli” olanla sınırlı olduğunu gösterebilmelerini gerektirmektedir.

Kurumun Gizlilik İçeren Görüş ve Buna Erişim Talebine İlişkin Kararı (Vaka Çalışması 12)

Somut olayda şikâyetçi, işverenine veri erişim talebinde bulunmuştur. Şikâyetçi, işvereninin bazı yazışmaları yanıtından çıkardığını, gizlilik içeren görüş içerdiği gerekçesiyle verileri haksız surette sakladığını ve mevzuatta belirtilen süre içinde yanıt vermediğini iddia etmiştir.

Şikâyetçinin işvereni, şikayetçinin kişisel verilerinin içeriğini ve kullanımını kontrol ettiği için veri sorumlusudur. Söz konusu veriler, şikâyetçinin İnsan Kaynakları dosyası ve şikâyetçinin istihdamına ilişkin verilerdir. Şikayetçinin kimliği birey olarak bu verilerden belirlenebildiğinden  kişisel veridir. 

Şikâyetin incelenmesi sırasında veri sorumlusu, şikâyetçinin kişisel verilerini içeren ek belgeler belirlemiş ve bunları şikâyetçiye sunmuştur. Veri sorumlusunun gizli görüş içerdiğini iddia ettiği belgeye ilişkin olarak, bu şikâyetin soruşturulması sırasında, söz konusu görüşü bildiren kişi, belgenin şikâyetçiye açıklanmasına rıza göstermiş ve bu nedenle veri sorumlusu tarafından belge şikâyetçiye verilmiştir.

Veri koruma mevzuatı, kişisel verilerine konu olan bir veriye erişim hakkı tanır ve ayrıca, erişimin belirli bir süre içinde verilmesi gerekir. Şikâyeti araştırdıktan sonra, kurum veri sorumlusunun uygun araştırmaları yaptığından ve şikâyetçiye yasal olarak alma hakkına sahip olduğu tüm kişisel verileri sağladığından emin olmuştur. Bu şikâyetin incelenmesi sırasında veri sorumlusu tarafından şikâyetçiye sunulan belgelerin mevzuatta öngörülen süre içinde şikâyetçiye iletilmiş olması aranmıştır.

GDPR’nin 15. Maddesi uyarınca, bir veri sahibi, bir veri sorumlusundan kendisiyle ilgili işlenmekte olan kişisel verilere erişim hakkına sahiptir. Veri sorumlusu, veri sahibi erişim talebine aşırı gecikme olmaksızın ve her halükarda talebin alınmasından itibaren bir ay içinde yanıt vermelidir. 

Kurumun Sağlık Verilerinin İşlenmesine İlişkin Kararı (Vaka Çalışması 13)

Şikayetçinin, işvereni tarafından düzenlenmiş olan bir gelir koruma sigortası bulunmaktadır ve hastalık nedeniyle işten izin almıştır. Plan kapsamında şikayetçinin sigorta şirketi tarafından düzenlenen tıbbi randevulara katılması gerekmiştir. Şikayetçinin hastalığına ilişkin bilgiler, şikayetçi tarafından sadece sigorta şirketi ile paylaşılmıştır. Ancak iddiaya katılımı şikayetçi tarafından bilinmeyen bir üçüncü taraf şirket, şikayetçinin katılması gereken tıbbi randevularla ilgili bilgileri şikayetçinin işverenine iletmiştir. 

Sigorta şirketinin, şikayetçinin kişisel verilerinin içeriğini ve kullanımını kontrol etmesi nedeniyle veri sorumlusu olduğu tespit edilmiştir. Söz konusu veriler, şikâyetçinin hastalığı, planlanan tıbbi randevuları ve önerilen tedavisinin ayrıntılarını içermektedir ve bu veriler şikâyetçinin kimliğinin tespit edilebilmesi ve şikâyetçi ile bir birey olarak ilişkili olması nedeniyle kişisel veri olarak kabul edilmiştir.

Soruşturma sırasında veri sorumlusu, şikâyetçinin hastalığı hakkında bilgi alma isteğine şikayetçinin rıza gösterdiğini teyit eden bir beyanının yer aldığı  formu imzaladığını ileri sürmüştür. Kurum tarafından, şikayetçinin tıbbi randevularıyla ilgili bilgileri üçüncü taraf şirketle (sigorta planının simsarı) neden paylaştığını açıklaması istendiğinde, veri sorumlusu, acentanın yenilenmesi ve sorunların hızla ilerlemesini sağlamak için bunu yaptığını bildirmiştir.

Veri sorumlusu, şikayetçiye belirli bilgileri sağlamanın yasal bir yükümlülüğü olduğunu belirtmiştir. Özellikle veri sorumlusu, şikayetçinin kişisel verilerinin alıcıları veya alıcı kategorileri hakkında şikayetçiyi bilgilendirmekle yükümlüdür. Kurum, veri sorumlusunun şikayet sahibine kendisiyle ilgili kişisel verileri isteyebileceğini bildirmesine rağmen, şikayetçinin kişisel verilerinin alıcıları hakkında şikayetçiye yeterli bilgi sağlamadığına dikkat çekmiştir.

Veri Koruma Mevzuatında, veri sorumlusu tarafından tutulan verilerin toplanma amacının elverişli, ilgili ve gerekli olanlarla sınırlı olması belirtilmektedir. Kurum, veri sorumlusunun, şikayetçinin tıbbi randevularının niteliği ile ilgili bilgiyi ifşa etmesi dolayısıyla  sunduğu nedeni incelemiştir ve veri sorumlusunun, söz konusu doktorların uzmanlıkları da dahil olmak üzere, tıbbi randevuların özel niteliğine ilişkin bilgileri üçüncü taraf şirkete ifşa etmesinin “aşırı” olduğu görüşündedir.

Kurum,  sağlıkla ilgili verilerin veri koruma mevzuatı kapsamında ek korumadan yararlandığını belirtmiştir. Ayrıca veri sorumlusu tarafından ifşa edilen bilgilerin ilgili doktorların uzmanlıklarının ayrıntılarını içerdiğinden, şikayetçinin hastalığının olası doğasını belirttiği ve dolayısıyla bu ek korumadan yararlandığı görüşündedir. 

Sağlık verilerinin işlenmesinde ek koruma önlemlerinin alınması gerektiğinden, belirli şartlar sağlanmadıkça, söz konusu verilerin işlenmesi söz konusu değildir. Örneğin;  veri sorumlusu, verisini işleyeceği kişiden açık rıza almışsa sağlık verisini işleyebilmektedir.

Kurum tarafından veri sorumlusunun, şikayetçinin rıza gösterdiğini iddia ettiği forma ilişkin açık rıza  verip vermediği incelenmiş, şikayetçinin açık rıza gösterdiği kabul edilmiştir. Ancak şikayetçinin, veri sorumlusu tarafından bu tür bilgilerin üçüncü şahıslara verilmesine açık rıza göstermediği kararda belirtilmiştir. Dolayısıyla bunun bir ihlal oluşturduğu tespit edilmiştir.

GDPR’nin 13. Maddesi uyarınca, kişisel verilerin toplanması esnasında, veri sorumlusunun, veri sahibine kimliği, iletişim bilgileri varsa Veri Koruma Görevlisi ve ayrıca verileri işleme amacı, hukuki sebebi, alıcıların kimliği, veri sahibinin hakları gibi belirli bilgileri açıklaması gerekmektedir. Bu bilgilerin sağlanmasının amacı, kişisel verilerin adil ve şeffaf bir şekilde işlenmesini sağlamaktır. Kişisel verilerin veri sahibinin açık rızası olmaksızın başka bir şekilde elde edildiği durumlarda, GDPR’nin 14. Maddesi uyarınca veri sahibine ek birtakım bilgilerin sağlanması gerekir. Bu bilgiler; açık, öz, şeffaf, anlaşılır ve kolay erişilebilir bir biçimde verilmelidir. Ek olarak, Madde 5(1)(c) kapsamındaki veri minimizasyonu ilkesi, kişisel verilerin işlendikleri amaçlarla ilgili olarak elverişli, ilgili ve gerekli olanlarla sınırlı olmasını gerektirmektedir. 

Son olarak, veri sorumluları, sağlıkla ilgili kişisel verilerin GDPR’nin 9. Maddesi kapsamında “özel nitelikli kişisel veri kategorisi” olarak kabul edildiğini ve özellikle hassas doğası ve veri sahibinin temel haklarına yönelik belirli riskleri göz önünde bulundurularak belirli kurallara tabi olduğunun bilincinde olmalıdır. Sağlık verilerinin işlenmesine yalnızca GDPR’nin 9(2) Maddesinde ve 2018 Veri Koruma Yasası’nın 45 ila 54. maddelerinde belirtilen belirli durumlarda izin verilmektedir; örneğin, veri sahibinin işlemeye açık rıza vermesi bu durumlardan birisidir.

Kurumun Gizlilik İçeren Belgelere Erişim Talebine İlişkin Kararı (Vaka Çalışması 14)

Somut olayda şikayetçi, vekiline veri erişim talebinde bulunmuştur. Erişim talebine verilen yanıt şikayetçiye verilmemiştir. Vekilin, şikayetçinin emekli maaşı dolayısıyla kişisel verilerinin içeriğini ve kullanımını kontrol ettiği için veri sorumlusu olduğu tespit edilmiştir. Söz konusu veriler şikayetçinin istihdamı ve emekli maaşı ile ilgili bilgilerden oluşmakta olup, bireysel olarak şikayetçi ile ilgili olduğu ve şikayetçinin kimliği buradan tespit edilebildiği için kişisel veridir.

Veri sorumlusu, yanıtın gizlilik içerdiğini ve bu nedenle  bunu şikayetçiye verilmesi gerekmediğini savunmuştur. Kurum, yanıt üzerinde gizlilik  iddiasıyla ilgili olarak veri sorumlusundan daha fazla bilgi istemiştir. Sonraki süreçte veri sorumlusu verileri şikayetçiye vermeyi kabul etmiştir. Kurum tarafından, veri  sorumlusunun yasal olarak gizlilik içeren belgeler bakımından muafiyete dayanma hakkı bulunmadığına karar verilmiştir. Dolayısıyla yanıtın, şikayetçinin erişim talebine cevaben mevzuatta belirtilen süre içerisinde şikayetçiye iletilmiş olması gerektiği bildirilmiştir.

GDPR’’nin 15. Maddesinde; veri sahibinin, veri sorumlusundan kendisiyle ilgili işlenmekte olan kişisel verilere erişim elde etme hakkına sahip olduğu düzenlemiştir. Veri sorumlusu, veri sahibinin erişim talebine gecikme olmaksızın ve her halükarda talebin alınmasından itibaren bir ay içinde yanıt vermelidir. 

Kurumun İş Soruşturması Kapsamında Verilerin İşlenmesine İlişkin Kararı (Vaka Çalışması 15)

Şikayetçi, kendisi tarafından bir meslektaşı hakkında ileri sürülen iddialardan kaynaklanan bir işyeri soruşturmasına dahil olmuştur. Şikayetçinin işvereni, soruşturmayı yürütmek üzere bağımsız bir danışmanlık firması (Danışmanlık Şirketi) atamış ve Danışmanlık Şirketinin bulguları bağımsız bir heyet tarafından incelemeye tabi tutulmuştur.

İş yeri incelemesinin sonuçlanmasının ardından şikayetçi, işverenine veri erişim talebinde bulunmuş ve bu talebe cevaben işveren tarafından şikayetçiye bir takım belgeler teslim edilmiştir. Ancak şikayetçi, kendisine bütün belgelerin verilmediği görüşündedir. Örneğin şikayetçi, kendisine sunulan tanık ifadelerinin (soruşturma sırasında alınan) gerçeğe aykırı olduğunu ve şikayetçiye bazı belgelerin (şikayetçinin personel dosyalarına erişim kayıtları gibi) verilmediğini iddia etmiştir. Şikayetçi ayrıca, işverenlerinin şikayetçinin iş performansının ayrıntılarını, hastalık izni düzenlemelerini ve şikayetçinin maaş bordrolarının kopyalarını şikayetçinin meslektaşlarına açıkladığını iddia etmiştir. Son olarak, şikayetçi, işvereninin, şikayetçinin gerçeğe aykırı tanık ifadelerinin düzeltilmesine yönelik taleplerine uymadığını iddia etmiştir.

Şikâyetçinin işvereninin, işyeri soruşturması kapsamında şikâyetçinin maaş bordrosu bilgileri, şikayetçinin hastalık iznine ilişkin bilgiler ve şikayetçiye ilişkin tanık ifadeleri şeklindeki verilerini elinde bulundurması nedeniyle veri sorumlusu olduğu tespit edilmiştir. Veri sorumlusu, şikayetçinin erişim talebine tam olarak cevap verilmediği yönündeki iddiasına cevaben, tanık ifadelerine ilişkin olarak şikayetçinin dosyasında bulunan orijinal tanık ifadelerinin nüshalarının şikayetçiye verildiğini belirtmiştir. Erişim kayıtları ilgili olarak ise veri sorumlusu, bunların kişisel veri içermediği görüşündedir. Veri sorumlusu, şikayetçinin kendisine ulaşmadığını iddia ettiği diğer muhtelif belgelerle ilgili olarak, bu belgelerin ayrıntılarını belirtmesi halinde şikayetçinin iddiasını daha fazla dikkate alacağını belirtmiştir.

Son olarak, şikayetçinin iş performansının ayrıntılarını şikayetçinin meslektaşlarına ifşa edildiği iddiasıyla ilgili olarak veri sorumlusu, şikayetçinin performansının şikayetçinin yöneticileriyle tartışılacağını ve meşru nedenlerle ifşa edildiğini savunmuştur. Veri sorumlusu, şikayetçinin hastalık izniyle ilgili bilgilerin açıklanmasıyla ilgili olarak böyle bir açıklamadan haberdar olmadığını bildirmiştir. Maaş bordrolarının ifşa edildiği iddiasına ilişkin olarak ise bunların, şikayetçi tarafından ele alınan ayrı bir dava bağlamında incelenmesi için veri sorumlusunun bir çalışanına verildiğini ileri sürmüştür. Şikayetçinin, gerçeğe uygun olmayan tanık ifadelerinin düzeltilmesi talebi ile ilgili  veri sorumlusu, tanık ifadelerinin ilgili kişilerin görüşlerini temsil ettiğini bildirmiş ve bu sebeple tanık ifadelerini değiştirmeyi reddetmiştir. Kurum, şikayetle ilgili olarak incelemesi gereken beş konu olduğu görüşündeydi. Kurumun bu konuların her birine ilişkin görüşü aşağıda özetlenmiştir.

Erişim talebi

Kurum, şikayetçinin geçerli bir erişim talebinde bulunduğunu kaydetmiştir. Bununla birlikte, veri sorumlusunun hukuka aykırı olarak bilgi sakladığına dair herhangi bir kanıt bulunmadığı kanaatindedir. Ancak Kurum, şikayetçinin veri erişim talebinin mevzuatta öngörülen süre içinde ele alınmadığını kaydetmiştir. Bu bağlamda, veri sorumlusu bir veri koruma ihlali gerçekleştirmiştir.

GDPR’nin 12(3) Maddesi uyarınca, bir veri sahibinin kendisi ile ilgili işlenmekte olan kişisel verilere ilgili veri sorumlusundan erişim talep etme hakkı vardır. Veri sorumlusu, ilgili erişim talebine herhangi bir gecikme olmaksızın ve her halükarda talebin alınmasından itibaren bir ay içinde yanıt vermelidir.

Şikayetçinin kişisel verilerinin yetkisiz ifşa edildiği iddiası

Veri sorumluları, verilerin üçüncü bir tarafa ifşa edilmesi de dahil olmak üzere, kişisel verileri işlemek için veri koruma mevzuatı uyarınca yasal bir dayanağa sahip olmalıdır. Şikayetçinin iş performansıyla ilgili ayrıntıların açıklanmasıyla ilgili olarak Kurum, bunun meşru nedenlerle olduğu ve bu tür işlemlerin yasal olduğu görüşündedir. Hastalık izni ayrıntılarının açıklanması konusuyla ilgili olarak, mevzuat ihlalinin olup olmadığını belirlemek için iddia edilen olayla ilgili yeterli bilgiye sahip olmadığı sonucuna varmıştır. Şikayetçinin maaş bordrolarının açıklanmasıyla ilgili olarak ise açıklamanın yasal olduğu görüşündedir Bunun nedeni veri sorumlusunun, maaş bordrolarını şikayetçi tarafından kendisine karşı getirilen ayrı bir yasal iddiayı savunmasında yardımcı olmak için açıklamış olmasıdır.

GDPR’nin 6. Maddesi uyarınca, bir veri sorumlusunun herhangi bir kişisel veriyi işlemek (ifşa etmek dahil) için yasal bir dayanağı olması gerekmektedir. İşleme için mevcut yasal dayanaklar arasında (a) veri sahibinin rıza vermiş olması, (b) işlemenin veri sahibinin taraf olduğu bir sözleşmenin ifası için gerekli olması, (c) işlemenin Veri sorumlusunun tabi olduğu yasal bir yükümlülüğe uygunluk, (d) İşlemenin bir kişinin hayati menfaatlerini korumak için gerekli olması, (e) İşlemenin, ilgili kuruluşta yürütülen bir görevin yerine getirilmesi için gerekli olması. kamu yararı veya (f) işlemenin veri sorumlusu veya bir üçüncü taraf tarafından izlenen meşru menfaatler için gerekli olmasıdır.

Adil bir şekilde işleme

Veri sorumlularının kişisel verileri adil bir şekilde işleme yükümlülüğü bulunmaktadır. Kurum soruşturması sırasında veri sorumlusundan, şikayetçinin kişisel verilerinin iddia edilen ifşalarının her biri ile ilgili olarak, şikayetçinin verilerini adil bir şekilde işleme yükümlülüklerine nasıl uyduğunu açıklamasını istemiştir. Veri Sorumlusu  gerekli bilgileri sağlayamamıştır ve bu durumlarda Kurum, veri sorumlusunun şikayetçinin verilerini adil işleme yükümlülüğüne uygun olarak işlemediğini değerlendirmiştir.

GDPR kapsamında kişisel veriler, veri sahibi ile ilgili olarak yasal, adil ve şeffaf bir şekilde işlenmelidir. Bu ilke, veri öznesine, işlemenin mevcudiyeti ve amaçları ile ilgili olarak GDPR’nin 13 ve 14. Maddeleri kapsamında belirli bilgilerin sağlanmasını gerektirir. Veri sahipleri, kişisel verilerinin işlenmesiyle ilgili riskler, kurallar, güvenceler ve kısıtlamalardan haberdar edilmelidir. Kişisel verilerin yasal olarak başka bir alıcıya açıklanabileceği durumlarda, veri sorumluları, kişisel verilerin alıcısı veya alıcı kategorileri hakkında veri sahibini bilgilendirmelidir.

Düzeltme hakkı

Veri Koruma Mevzuatına göre, hatalı kişisel verilerin düzeltilmesi hakkı vardır. Ancak burada veri sorumlusu, tanık ifadelerinde kaydedilenlerin olaya karışan kişilerin görüşlerini yansıttığını ispat etmiştir. Bir görüşün yasaya uygun bir şekilde alındığı ve görüşü veren kişinin objektif olarak görüşün doğru olduğuna inandığı durumlarda düzeltme hakkının geçerli olmadığı kural olarak  benimsenmiştir.

GDPR’nin 5. Maddesi uyarınca, işlenen kişisel verilerin doğru olması ve gerektiğinde güncel tutulması ve veri sorumlularının, kişisel verilerin amacına uygun olarak yanlış olmasını sağlamak için makul olan her adımın atılmasını sağlaması gerekmektedir. Ayrıca GDPR’ nin 16. Maddesi uyarınca veri sahibinin veri sorumlusundan kendisi ile ilgili yanlış kişisel verilerin derhal düzeltilmesini isteme hakkı vardır. 

Şikayetçinin kişisel verilerinin saklanması

Kurum, veri sorumlusundan işyeri soruşturmasıyla ilgili olarak şikayetçinin kişisel verilerinin saklanmasının yasal dayanağını göstermesini istemiştir. Veri sorumlusu verilerin çeşitli yasal süreçler kapsamında şikayetçinin talep ve itirazlarının ele alınması için tutulduğunu bildirmiştir. Daha sonra Kurum, şikayetçinin kişisel verilerinin meşru nedenlerle tutulduğu görüşünü iletmiştir.

GDPR uyarınca,  veri sorumlusunun yalnızca bireyin kişisel verilerini başlangıçta elde etmesi için yasal bir temele sahip olması değil, aynı zamanda yukarıda belirtildiği gibi 6. Madde uyarınca bu verilerin saklanması için devam eden bir yasal dayanağı olması gerekir. Ancak, GDPR Madde 5(1)(e) uyarınca veri öznelerinin tanınmasına neden olabilecek olan kişisel veriler, işlendikleri amaç için gerekli olandan daha uzun süre saklanmamalıdır.

Daha fazla okuma İçin:

https://www.eralp.av.tr/bilimsel-yayinlarin-kvkk-kapsamindaki-degerlendirilmesi/