Kişisel Verileri Koruma Kurulu çalışanın kişisel verilerinin yer aldığı adli yazışma bilgilerini kardeşi ile paylaşan işveren hakkında idari para cezasına hükmetti.
Kişisel Verileri Koruma Kurulu (“Kurul”), 02/09/2022 tarihli ve 2022/896 sayılı kararında [1] ;
✓ Veri sorumlusu işveren ile işçi arasında iş ilişkisinin mevcut olduğu, bu doğrultuda veri sorumlusu tarafından ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi birtakım kişisel verilerin işlendiği ve fakat bu veri işleme faaliyetlerine ilişkin ilgili kişiye herhangi bir aydınlatma yapılmadığı,
✓ Birtakım kişisel veriler işlenirken ilgili kişinin açık rızasının alınmadığı,
✓ Veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin dosya ile herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği,
✓ İlgili hususta veri sorumlusuna başvuru yapılmışsa da cevap alınamadığı talepleriyle ilgili kişi başvurusu üzerine inceleme başlatmıştır.
Kurul tarafından yapılan değerlendirmede;
• Birtakım kişisel verilerin işlemesi gerekse de bu işlemenin hukuka uygun olması gerektiği, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmesi gerektiği,
• İlgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikâyet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işleminin, veri sorumlusunun her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırılık teşkil ettiğinden değerlendirildiğinden veri sorumlusu hakkında 150.000 TL idari para cezası uygulanmasına,
• İlgili kişinin taleplerinin yanıtsız bırakıldığını dikkate alarak veri sorumlusunun, ilgili kişiye başvurusunda talep ettiği hususlara ilişkin açıklayıcı ve detaylı bir şekilde cevap vermesi gerektiği
yönünde karar verilmiştir.
Özetle;
Veri işleme faaliyetinde bulunan veri sorumlularının;
• Mutlak suretle bilgilendirmeye dayalı ve hukuki yükümlülükleri karşılar aydınlatma metnini ilgili kişilere sunması,
• Aydınlatma metninin açık ve anlaşılır olması,
• İşlenen verilerin mahiyeti gereği ilgili kişilerden açık rıza alınması,
• Çalışana ait kişisel verileri kardeşi ve diğer aile üyeleri dahil hiçbir üçüncü kişiyle paylaşmaması,
• Veri sorumlusuna başvuru halinde süresi içinde cevap verilmesi gerekmektedir.
[1] Kişisel Verileri Koruma Kurulu, 02/09/2022 tarihli ve 2022/896 sayılı kararı, https://kvkk.gov.tr/Icerik/7584/2022-896.
Kişisel Verileri Koruma Kurulu çalışanın kişisel verilerinin yer aldığı adli yazışma bilgilerini kardeşi ile paylaşan işveren hakkında idari para cezasına hükmetti.
Kişisel Verileri Koruma Kurulu (“Kurul”), 02/09/2022 tarihli ve 2022/896 sayılı kararında [1] ;
✓ Veri sorumlusu işveren ile işçi arasında iş ilişkisinin mevcut olduğu, bu doğrultuda veri sorumlusu tarafından ilgili kişiye ait kimlik, iletişim, özlük, mesleki deneyim, sağlık verileri gibi birtakım kişisel verilerin işlendiği ve fakat bu veri işleme faaliyetlerine ilişkin ilgili kişiye herhangi bir aydınlatma yapılmadığı,
✓ Birtakım kişisel veriler işlenirken ilgili kişinin açık rızasının alınmadığı,
✓ Veri sorumlusu işveren tarafından ilgili kişinin adının geçtiği ceza soruşturma dosyasında yer alan adli yazışma bilgilerinin dosya ile herhangi bir bağlantısı olmadığı halde ilgili kişinin kardeşinin e-posta adresine iletildiği,
✓ İlgili hususta veri sorumlusuna başvuru yapılmışsa da cevap alınamadığı talepleriyle ilgili kişi başvurusu üzerine inceleme başlatmıştır.
Kurul tarafından yapılan değerlendirmede;
• Birtakım kişisel verilerin işlemesi gerekse de bu işlemenin hukuka uygun olması gerektiği, veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmesi gerektiği,
• İlgili kişiye ve başka gerçek kişilere ait kişisel verileri barındıran Savcılık şikâyet dilekçesinin olayla herhangi bir ilgisi olmadığı anlaşılan ve ilgili kişinin kardeşi olduğu belirtilen üçüncü bir kişiye e-posta yoluyla iletilmesi işleminin, veri sorumlusunun her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırılık teşkil ettiğinden değerlendirildiğinden veri sorumlusu hakkında 150.000 TL idari para cezası uygulanmasına,
• İlgili kişinin taleplerinin yanıtsız bırakıldığını dikkate alarak veri sorumlusunun, ilgili kişiye başvurusunda talep ettiği hususlara ilişkin açıklayıcı ve detaylı bir şekilde cevap vermesi gerektiği
yönünde karar verilmiştir.
Özetle;
Veri işleme faaliyetinde bulunan veri sorumlularının;
• Mutlak suretle bilgilendirmeye dayalı ve hukuki yükümlülükleri karşılar aydınlatma metnini ilgili kişilere sunması,
• Aydınlatma metninin açık ve anlaşılır olması,
• İşlenen verilerin mahiyeti gereği ilgili kişilerden açık rıza alınması,
• Çalışana ait kişisel verileri kardeşi ve diğer aile üyeleri dahil hiçbir üçüncü kişiyle paylaşmaması,
• Veri sorumlusuna başvuru halinde süresi içinde cevap verilmesi gerekmektedir.
[1] Kişisel Verileri Koruma Kurulu, 02/09/2022 tarihli ve 2022/896 sayılı kararı, https://kvkk.gov.tr/Icerik/7584/2022-896.