27 Eylül 2022

KİŞİSEL VERİLERİ KORUMA KURULU'NUN 2021/1187 SAYILI KARARI

I. Şikayetin Özeti

Veri sorumlusu şirketin eski çalışanı olan ilgili kişinin, Kişisel Verilerin Korunması Kurumu’na (“Kurum”) intikal eden şikâyetinde özetle;

- Veri sorumlusu sıfatına sahip olan şirket ve ilgili kişi arasında devam eden davalarda, veri sorumlusu tarafından dosyalara sunulan delillerde ilgili kişinin nişanlısı ile e-posta üzerinden yapmış olduğu konuşma içeriklerine, şahsi banka hesap dökümlerine ve yaptığı harcama kayıtlarına erişim sağlandığı,

- Veri sorumlusu tarafından, şirket çalışanlarına verilen e-posta adreslerinin sadece iş dolayısıyla kullanılması gerektiğini bildiren herhangi bir açıklama veya bildirim yapılmamış olduğu, bu sebeple özel hayata ilişkin e-posta iletilerine kötüniyetli ve yetkisiz erişim sağlandığı,

- Veri sorumlusu tarafından ilgili kişiye ait kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“KVKK”) öngörülen işleme şartlarına aykırı olarak işlendiği, üçüncü kişilere aktarıldığı, bu hususta ilgili kişiye bir aydınlatma yapılmadığı ve açık rıza metni sunulmadığı,

- Müşterilerinin ve çalışanlarının bilgilerinin muhafaza edildiği, söz konusu kişilerin iş ve işlemlerini gerçekleştirdiği bulut sistemin server’larının yurt dışında olduğu, fakat kişisel verilerin yurtdışına aktarımı konusunda KVKK’ya uygun hareket edilmediği iddia edilmiştir.

II. Veri Sorumlusunun Cevabi Yazısı

Kurum’a intikal eden şikayet üzerine Kurum tarafından veri sorumlusundan yazılı savunma talep edilmiş olup, veri sorumlusu savunmalarında özetle;

- İlgili kişi ile aralarındaki uyuşmazlığın KVKK kapsamında yer almadığı, taraflar arasında adli mercilere intikal eden 8 adet dava dosyasının bulunduğu, ilgili kişinin rakip firmalara karşı kendilerini ticari zarara uğrattığı, bu sebeple ihtilafın bir hukuki işlemden kaynaklandığı,

- İlgili kişiye ait e-posta yazışmalarının mahkeme dosyalarına delil olarak sunulmasından itibaren haklarında, ilgili kişinin özel hayatını ilgilendiren şahsi e-posta içeriklerine veri sorumlusu tarafından hukuka aykırı olarak erişildiği gerekçesiyle özel hayatın gizliliği ve haberleşmenin gizliliğini ihlal suçlamaları ile savcılığa şikayette bulunulduğu, fakat savcılığın kovuşturmaya yer olmadığı kararı verdiği,

- Bilişim alanında uzman olarak çalışan bir personelin, çalıştığı şirket tarafından ve sadece kendisine tevdi edilen işin ifası amacıyla sınırlı olmak üzere, tarafına tahsis edilen kurumsal e-posta iletisini özel ve şahsi amaçlarla kullanmaması gerektiğine ilişkin bu durumun bilince olması gerektiği, bu sebeple ilgili kişinin bu noktada uyarılmasına gerek olmadığı,

- İlgili kişinin iş akdini tek taraflı olarak feshetmesiyle birlikte eş zamanlı olarak kendisine tahsis edilen e-posta içerisindeki iletileri de sildiği, bu durumun kendileri tarafından şüphe ile karşılandığı, nitekim ilgili yazışmaların kurtarılmasından sonra yapılan incelemelerde şüphelerini haklı kılan ve ticari itibarlarını zedeleyen yazışmalara rastladıkları, bu durumun kendilerini haklı çıkardığı,

- İlgili kişinin kendi rızasıyla ve bilinçli olarak kaydettiği şahsi nitelikli veri ve yazışmaların kurtarma işlemleri sırasında zorunlu olarak sistem tarafından geri getirildiği, asıl amacın bu yazışmaların kurtarılmasının olmadığı, ilgili kişinin hukuka aykırı davranışlarının ispatlanması amacıyla işlem yapıldığı,

- Şikâyete konu verilerin tamamına yakınının hâlihazırda ilgili kişi tarafından ikame olunan hizmet tespiti davasında bizzat ilgili kişi tarafından delil olarak sunulduğu ve bu sebeple KVKK anlamında alenileştirildiği, iddia edilmiştir.

III. Kurul Kararının Özeti

Kişisel Verileri Koruma Kurulu (“Kurul”) somut uyuşmazlık hakkındaki kararını açıklarken öncelikle KVKK’nın tanımlar maddesine atıf yaparak ilgili kişi ve veri sorumlusu sıfatlarını tanımlamıştır. Ardından, kişisel verilerin işlenmesinde uyulması gereken zorunlu unsurlar ve son olarak kişisel verilerin işlenme şartlarına atıf yapmıştır.

Kurul’un ihtilaf ile ilgili değerlendirmesindeki asıl önemli nokta; veri sorumlusu işveren şirketin, çalışanı olan ilgili kişiye tahsis ettiği kurumsal e-posta hesabına dilediği şekilde erişebilip erişemeyeceğinin açıklığa kavuşturulmasıdır. Kurul, konuya ilişkin öncelikle bir Anayasa Mahkemesi kararı paylaşarak uyuşmazlığın Anayasa çerçevesinde detaylı bir şekilde irdelenmesini sağlamıştır. İlgili Anayasa Mahkemesi kararına bakıldığı zaman Mahkeme, kararında şu önemli açıklamaları yapmıştır; “İşverenin çalışanın kullanımına sunduğu iletişim araçlarının ve iletişim içeriklerinin incelenmesinin haklı olduğunu gösteren meşru gerekçeleri olup olmadığı denetlenmelidir.”

Anayasa Mahkemesi, kararın devamında, iletişimin işveren tarafından denetlenebilmesi için öncelikle işverenin bu noktada çalışanını bilgilendirmiş olması gerektiğine işaret etmiştir. Ardından, işveren tarafından yapılan müdahale, ulaşılmak istenen amaç ile ilgili ve bu amacı gerçekleştirmeye elverişli olmalıdır demiştir. Ayrıca inceleme faaliyetiyle elde edilen verilerin işveren tarafından hedeflenen amaç doğrultusunda kullanılması, yani kısacası ölçülülük ilkesine uyulması gerektiğini belirtmiştir. Son olarak, çalışanın iletişiminin doğrudan denetlenmesine gerek kalmayacak daha hafif ölçekte tedbirlerin mevcut olup olmadığının da işveren tarafından araştırılması gerektiğine işaret etmiştir.

Tüm bu açıklamalar ışığında Kurul, veri sorumlusu işverenin ilgili kişinin şahsi nitelikteki e-posta iletilerine yetkisiz bir şekilde eriştiğine karar vermiştir. Kurul, veri sorumlusunun; “ilgili kişi bilişim alanında uzman bir çalışandır, bu sebeple kurumsal e-posta hesabını şahsi amaçlarla kullanmaması gerektiğini bilmesi gereken biridir” savunmasına itibar etmeyerek, KVKK’nın 10. maddesi ile Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 4. maddesi kapsamında herhangi bir aydınlatma yapılmadığından bahisle, veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına karar vermiştir.

IV. Sonuç

Söz konusu uyuşmazlıkta Kurul, işverenin çalışanı üzerinde sınırsız bir denetim yetkisine sahip olmadığına işaret ederek, yeri geldiğinde bizzat işveren tarafından tahsis edilen iletişim araçlarında bile denetim yetkisine bir sınırın getirilmesi gerektiğine karar vermiştir. Kurul öte yandan, Anayasa Mahkemesi ve Avrupa İnsan Hakları Mahkemesi kararlarına da atıf yaparak, şayet bir denetim mekanizması uygulanacaksa bile bunun öncelikle çalışana bildirilmesi, yani aydınlatma yükümlülüğünün gerçekleştirilmesi gerekmektedir şeklinde görüş bildirmiştir.

Alenileştirme kavramına da ayrı bir parantez açan Kurul; işverenin ilgili kişisel veriler çalışan tarafından alenileştirilmiştir iddiasını kabul etmemiştir. Alenileştirme olgusundan bahsedebilmek için; ait olduğu kişinin aleni olmasını istemesi gerekir. Başka bir ifade ile alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığı gerekir. Yoksa bir kişinin kişisel verisinin herkesin görebileceği bir yerde olması aleni olmasını sağlamamaktadır. Kurum’un uyuşmazlık neticesinde uyguladığı idari para cezası miktarına bakıldığı zaman konunun ciddi bir boyutta olduğu ve Kurul tarafından çok hassas davranıldığı sonucu ortaya çıkmaktadır.

Av. Serhat TİMUR

Avatar
Adınız
Yorum Gönder
Kalan Karakter:
Yorumunuz onaylanmak üzere yöneticiye iletilmiştir.×
Dikkat! Suç teşkil edecek, yasadışı, tehditkar, rahatsız edici, hakaret ve küfür içeren, aşağılayıcı, küçük düşürücü, kaba, müstehcen, ahlaka aykırı, kişilik haklarına zarar verici ya da benzeri niteliklerde içeriklerden doğan her türlü mali, hukuki, cezai, idari sorumluluk içeriği gönderen Üye/Üyeler’e aittir.