("Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1218 sayılı Karar Özeti")

Olayda, ilgili kişi (işçi), yurtdışında mukim bulunan yabancı şirket çatısı altında çalıştıktan sonra, şirketin İstanbul İrtibat Bürosu'nda görev almıştır. İlgili kişi, Nisan 2021'de iş sözleşmesinin eylemli fesih yoluyla sona erdirildiğini, ancak sona ermeden sonra kişisel verilerinin veri sorumlusunun internet sitesinde tutulmasına devam edildiğini iddia etmektedir. "Veri sorumlusuna başvuru"nun düzenlendiği Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 13. Maddesi uyarınca, ilgili kişi tarafından 26/05/2021 tarihinde başvuru yapılmış ancak, ilgili kişinin iddiasına göre tatmin edici bir cevap alınamamıştır. Ayrıca, ilgili kişi, istihdam edildiği süre boyunca, veri sorumlusu sıfatına haiz şirketin İstanbul İrtibat Bürosu'nun Kanun'un 10.maddesinde öngörülen veri sorumlusunun aydınlatma yükümlülüğüne uymadığını iddia etmektedir.

Özetle, ilgili kişi şikâyetinde, şirketin İstanbul İrtibat Bürosu hakkında;

  1. İstihdam edildiği süreçte, Kanun'un 10.maddesi uyarınca kişisel verilerinin işlenmesi faaliyetinin amacı, kapsamı, verilerinin kimlerle paylaşıldığı, nasıl ve hangi süre için saklandığı, hangi hukuki sebeplerle işlendiği, Kanun kapsamında veri sorumlusuna yöneltebileceği haklarının neler olduğu konularında bilgilendirilmeyerek, veri sorumlusu tarafından aydınlatma yükümlülüğünün yerine getirilmediği,
  2. Kanun'un 13'üncü maddesi uyarınca yaptığı başvuruya veri sorumlusu tarafından yeterli bir şekilde cevap verilmediği,
  3. Veri sorumlusu ile olan iş sözleşmesinin eylemli fesih yoluyla sona erdirilmesinden sonra kişisel verilerinin veri sorumlusunun internet sitesinde tutulmasına devam edildiği, söz konusu verilerin bu sitede tutulmasının ilgili kişinin açık rızasına bağlı olduğu halde konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı ve bu durumun da hukuka aykırı kişisel veri işleme faaliyeti teşkil ettiği,

iddialarıyla Kişisel Verileri Koruma Kurulu'na şikayette bulunmuştur.

Kararda Kurul tarafından öncelikle, her ne kadar ilgili kişi tarafından veri sorumlusunun İstanbul İrtibat Bürosu hakkında şikâyette bulunulmuş olsa da, yabancı şirketlerin Türkiye'deki irtibat bürolarının tüzel kişiliklerinin bulunmadığı ve Kanun'un 2'nci maddesi uyarınca Kanun hükümlerinin sadece gerçek kişiler ile tüzel kişiler hakkında uygulanabileceği dikkate alınmış ve ilgili kişinin iddialarına istinaden yurtdışında mukim veri sorumlusu hakkında inceleme başlatılmasına karar verilmiştir.

Karar uyarınca;

  1. İlgili kişinin; veri sorumlusunun Londra'da bulunan ofisinde işe başlaması nedeniyle ilgili kişiye Avrupa Birliği'nin birincil kişisel veri koruma düzenlemesi olan ve kısaca "GDPR" olarak bilinen Avrupa Birliği Genel Veri Koruma Tüzüğü'ne istinaden bilgilendirme yapıldığı, daha sonra ilgili kişi işçinin Londra'daki görevinden ayrılarak veri sorumlusunun İstanbul'da bulunan irtibat ofisi bünyesinde görev yapmaya başladığı, dolayısıyla ilgili kişiye Avrupa Genel Veri Koruma Tüzüğü (GDPR) yükümlülükleri kapsamında yapılan bilgilendirmenin ilgili kişi hakkında veri sorumlusunca yürütülen kişisel veri işleme faaliyetleri açısından yeterli olduğu, ancak Türkiye'de işlenen kişisel veriler bakımından Kanun'un 10'uncu maddesine uygun olarak aydınlatma yükümlülüğünün yerine getirilmesi konusunda özen gösterilmesi hususunda veri sorumlusuna hatırlatılmıştır.
  2. Olayda, İlgili kişinin Kanun'un 11'inci ve 13'üncü maddeleri uyarınca yaptığı bilgi alma başvurusu yönünden, Kanun'un 11'inci maddesi kapsamında yöneltilen bilgi taleplerinin tamamının veri sorumlusu tarafından cevaplanmadığı için, Kurul, veri sorumlusunun ileride kendisine yapılabilecek ilgili kişi başvurularını mevzuata uygun şekilde cevaplandırması hususunda talimatlandırmıştır.
  3. Dosyaya sunulan tüm bilgi ve belgelerden, ilgili kişinin iş sözleşmesinin Nisan 2021 itibarıyla sona ermediği tespit edilmiştir. Kişisel verilerin şirketin İstanbul İrtibat Büro'nun internet sitesinde tutulmasının ilgili kişinin açık rızasına bağlı olduğu ama konuya ilişkin olarak ilgili kişinin açık rızasının alınmadığı iddiasında, Nisan 2021 sonrası dönemde veri sorumlusunun internet sitesinde yayınlanmasından ibaret olan kişisel veri işleme faaliyetinin Kanun'un 5'inci maddesindeki "İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması" hukuki sebebine dayanabileceği, bu yüzden de anılan faaliyeti dolayısıyla veri sorumlusu hakkında Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığı belirtilmiştir.

Özetle, Kurum, GDPR kapsamında yapılmış bir aydınlatmanın belirli noktalarda yeterli olduğunu, ancak ilgili kişi başvuru süreçleri ve ilgili kişinin verilerine erişilebilirliği açısından KVKK kapsamında da yükümlülüklerin Türkiye'de irtibat bürosu bulunan veri sorumluları tarafından yerine getirilmesi gerektiğine kanaat getirmiştir. KVKK açısından konuyu irdelediğimizde, Türkiye'de irtibat bürosu veya temsilciliği bulunan yabancı veri sorumlularının; KVKK kapsamında VERBİS kayıt yükümlülüklerini, aydınlatma yükümlülüklerini ve ilgili kişilerin başvuru süreçlerinin yönetimi konusunda eksikliklerini tamamlamaları gerekmektedir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.