“Veri sorumlusu sağlık firması tarafından eski çalışanı olan ilgili kişinin kişisel verilerinin rızası alınmaksızın aktarımı” hakkında Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Karar Özeti
Kuruma intikal eden şikayette özetle;
- İlgili kişinin sağlık alanında faaliyet gösteren veri sorumlusu şirket bünyesinde belirli tarihler arasında çalıştığı ve çalışma ilişkisini veri sorumlusu ile mutabık kalarak sonlandırmak suretiyle başka bir şirkette işe başladığı,
- İlgili kişinin yeni işe başladığı şirketin yetkilileri ile yapılan toplantıda, veri sorumlusu tarafından ilgili kişinin çocuklarının ve eşinin uzun bir süredir Almanya’da yaşadıkları ve ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı gibi bilgilerin kendileri ile paylaşıldığı, ayrıca, ilgili kişinin aldığı maaş, prim ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu eski çalıştığı şirketten ayrıldığı gibi iddiaların kendilerine iletildiği belirtilerek ilgili kişinin cevabının talep edildiği,
- İlgili kişi hakkındaki bu bilgilerin veri sorumlusu eski çalıştığı şirket tarafından talep olmaksızın, ilgili kişinin yeni işe başladığı şirkete önce telefon ardından iki adet e-posta vasıtasıyla aktarıldığının öğrenildiği,
- Bunun üzerine konuyla ilgili olarak veri sorumlusu şirkete ihtarname gönderildiği, ilgili kişinin yeni çalışmaya başladığı şirketin bir talebi olmamasına rağmen ilgili kişinin ailesi ve veri sorumlusu ile olan maddi ilişkilerinin, veri sorumlusu tarafından söz konusu şirkete aktarılmasına esas teşkil eden bir sebep bulunmaması veya ilgili kişinin çıkarları ve makul beklentilerinin göz önüne alınmamasının, bu konuda herhangi bir haklı gerekçeye dayanılmamasının, “hukuka ve dürüstlük kurallarına uygun olma” ilkesine aykırılık teşkil ettiği, yine söz konusu şirket ile ilgili kişinin açık rızası olmaksızın kişisel verilerinin paylaşılmasındaki amacın anlaşılamadığı ve tüm şartlar göz önüne alındığında hukuken korunan meşru bir amaç güdülmediğinin de aşikâr olduğu, bu durumun “belirli, açık ve meşru amaçlar için işlenme ilkesi” ile uyumlu olmadığı, Kişisel Verilerin Korunması Kanununun (Kanun) 8 inci maddesinde ilgili kişinin açık rızası olmaksızın kişisel verilerin üçüncü kişilere aktarılamayacağının hüküm altına alındığı, bu kapsamda ilgili kişinin kendisi ve ailesine ilişkin kişisel verilerinin üçüncü kişilerle paylaşılmasına yönelik açık veya zımni rızasının bulunmadığı,
- İlgili kişinin rızası alınmaksızın yapılan bu veri aktarımının veri sorumlusu tarafından Kanunun 5 inci maddesinde sayılan kişisel veri işleme şartlarından “ilgili kişinin kendisi tarafından alenileştirilmiş olma” koşuluna dayandırıldığı, ancak ilgili kişinin rızası olmaksızın paylaşılan kişisel verilerin ilgili kişi tarafından herhangi bir şekilde kamuoyuna açıklanmış yani ilgili kişi tarafından alenileştirilen ve böylelikle herkes tarafından bilinebilecek hale getirilmiş bir bilgi niteliğini haiz olmadığı, söz konusu yeni işe başladığı şirket yetkililerinin ilgili kişinin çocukları ve eşinin yurt dışında yaşayıp yaşamadıklarını ve özel ödeme koşullarına ilişkin veri sorumlusu eski şirketin iddialarını teyit etmeye yönelik sorular sormalarının da söz konusu kişisel verilerin aleni olmadığının ve herkesçe bilinmediğinin göstergesi olduğu, ayrıca alenileştirmenin gerçekleştirilebilmesi için alenileştirme iradesinin varlığının gerektiği ancak ilgili kişinin bu yönde bir iradesinin bulunmadığı,
- Öte yandan Kanunun 12 nci maddesi kapsamında, veri sorumlusunun Kanunun kendisine yüklediği sorumluluklara aykırı davranarak, kişisel verilere erişme yetkisi olanlar tarafından yetkilerin kötüye kullanılması ile işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşması suretiyle Kanunu ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı
belirtilerek, konuya ilişkin gerekli yaptırımların uygulanması talep edilmiştir.
Başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan (eski işveren) savunması istenilmiş olup, alınan cevabi yazıda özetle;
- İlgili kişinin hem veri sorumlusuna hem de Kuruma yaptığı başvuru dikkate alındığında şirketlerinin olağan iş süreçlerine ilişkin veri işlemesine yönelik bir uyuşmazlık bulunmadığı, şikâyet konusunun eski çalışana (ilgili kişiye) ilişkin kişisel verilerin yeni işvereni ile paylaşılıp paylaşılmadığı ve paylaşılmış ise bu paylaşımın hukuki gerekçesi üzerinde toplandığı,
- Bu kapsamda, ilgili kişinin yeni işvereni ile gerçekleştirdiği toplantıda gündeme gelen; eşinin ve çocuklarının yurtdışında yaşadığı ve kendisinin de bu ülkeye taşınacağı, ilgili kişinin maaş ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu bünyesinden ayrıldığı şeklindeki bilgilerin neredeyse hiç birinin veri sorumlusu tarafından yeni işveren ile paylaşılmadığı,
- Pek çok sektörde olduğu gibi ilgili sektörde de yer alan insanların birbirlerini tanıdığı, sektörde yer alan şirketlere veya çalışanlara ilişkin gelişmelerin insanlar arasında konuşulabildiği, bu minvalde ilgili kişinin kendisi ile ilgili bilgileri sektörde yer alan diğer insanlara aktarmış olabileceği de göz önünde bulundurulduğunda; söz konusu toplantıda ilgili kişiye yöneltilen soruların, bu sorulara dayanak oluşturan verilerin ve bu verilerin kimden ne şekilde elde edildiğinin veri sorumlusunun bilgisi dâhilinde olmadığı, söz konusu verilerin şirketleri tarafından yeni işverene sağlandığı iddiasının tahmine dayalı ve şirketlerini zan altında bırakan bir iddia olduğu, ilgili kişi tarafından bu iddiaların gerçekliğini ortaya koyacak bilgi ve belgelerin tereddütsüz bir şekilde sunulması gerektiği,
- Bununla birlikte; ilgili kişinin yeni şirketinde çalışmaya başladığına ilişkin duyurunun yeni işveren şirketin kurumsal hesabından duyurulduğu, söz konusu duyuruda ilgili kişinin daha önce veri sorumlusu bünyesinde direktör seviyesinde çalıştığı bilgisine yer verildiğinin fark edildiği, bu verilerin ilgili kişinin kendi iradesiyle ve iradesine uygun olarak alenileştirilen ve bu vesileyle tüm tarafların bilgisinde olan bilgiler olduğu, ancak bu bilginin gerçeği yansıtmadığı, ilgili kişinin veri sorumlusu nezdinde hiçbir dönemde bu seviyede üst düzey bir pozisyonda çalışmadığı, bu nedenle ilgili kişinin gerçeğe aykırı beyanlarının sebep olduğu bu durumdan yeni işverenin e-posta yoluyla haberdar edildiği,
- Veri sorumlusu tarafından yeni işveren ile paylaşıldığı belirtilen bu bilgiler (ilgili kişinin şirketlerinde daha önce direktör seviyesinde çalışmadığı ve işten ayrılış sebebi) dışında ilgili kişiye ilişkin kişisel verilerin yeni işvereni ile paylaşılmasının söz konusu olmadığı,
- İlgili kişinin, veri sorumlusunun adını kullanarak etik olmayan, hukuka ve gerçeğe aykırı bir bilgi ile işvereni nezdinde kendisi lehine haksız bir menfaat sağlaması, veri sorumlusunun haklarını ve menfaatlerini ihlal etmesi nedeniyle; ilgili kişinin yeni işvereni ile yapılan bilgi paylaşımı ile yalnızca gerçeğe aykırı olarak beyan edildiği anlaşılan hususların açıklığa kavuşması, bu durumun düzeltilmesi ve hukuki etkilerinin ortadan kaldırılmasının amaçlandığı,
- İlgili kişinin yeni işvereni ile sınırlı bir veri paylaşımı olduğu ve bu bilgi paylaşımının yapılmasında;
- Veri sorumlusunun adı kullanılarak etik olmayan, hukuka ve gerçeğe aykırı bilginin düzeltilmesi ve ihlalin kaldırılması bakımından şirketleri için,
- Gerçeğe aykırı beyan ile menfaat temini nedeni ile mevzuattan kaynaklanan haklarının kullanılabilmesi bakımından yeni işveren için,
- Gerçeğe aykırı beyan ile menfaat elde edilemeyeceği ve bu durumun aykırılık olarak kabul edilmesi bakımından
- kamusal anlamda korunmaya değer daha üstün bir menfaat bulunduğu,
- Söz konusu üçüncü kişilere veri aktarımının hukuki dayanağını Kanunun 5 inci maddesinin (2) numaralı fıkrasında belirtilen kişisel veri işleme şartlarından “(e) bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve “(f) ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” nın oluşturduğu,
- Veri sorumlusu tarafından alınan idari ve teknik tedbirlere yönelik açıklamalar kapsamında; bünyelerinde irtibat kişisinin atandığı, veri envanterinin hazırlandığı, kişisel verilerin korunmasına yönelik farkındalığı arttırmak için veri sorumlusu içerisinde tüm çalışanlara eğitimler verildiği, konuyla ilgili çok sayıda politika ve dokümanın hayata geçirildiği, savunma ekinde de yer verilen idari ve teknik tedbirler listesinde yer alan pek çok tedbirin uygulandığı
ifadelerine yer verilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 11/02/2020 tarihli ve 2020/108 sayılı Kararı ile,
- İlgili kişi ve veri sorumlusu (eski işveren) arasında üçüncü kişilere veri aktarımından kaynaklanan şikâyetin temelini, ilgili kişinin eski işyerinde çalıştığı son iş pozisyonunu yeni işyerine yönetici pozisyonu olan “Etik Direktörü” olarak belirtmek suretiyle yanlış beyanda bulunması, ayrıca eski işyerine işten ayrılma sebebini yurtdışına taşınması olarak ifade etmesinin oluşturduğu,
- İlgili kişinin “çocuklarının ve eşinin uzun bir süredir yurtdışında yaşadıkları ve ilgili kişinin de bu ülkeye taşınacağı, Türkiye’de fazla kalmayacağı gibi bilgilerin paylaşıldığı, ayrıca, ilgili kişinin veri sorumlusundan aldığı maaş, prim ve özel ödeme koşullarına riayet etmeksizin veri sorumlusu bünyesinden ayrıldığı” iddialarını doğrulayacak herhangi bir bilgi, belge ve benzeri dokümanın ilgili kişi tarafından Kuruma sunulmadığı, yalnızca veri aktarımının telefon görüşmesi ve iki adet e-posta ile gerçekleştiği bilgisinin verildiği,
- Söz konusu e-posta yazışmalarının, şikâyet edilen veri sorumlusu tarafından savunma yazısı ekinde sunulmuş olduğu ve yazışmalardan, yalnızca ilgili kişinin eski işvereni şirkette hangi tarihler arasında hangi iş pozisyonlarında çalıştığı ve yeni işverenin ilgili kişinin işten ayrılma nedenine ilişkin soruya cevaben ailevi nedenlerden dolayı yurtdışına taşınacağı bilgisinin verildiğinin anlaşıldığı,
- İlgili kişinin eski işyerinde çalıştığı tarihler ve iş pozisyonları ile işten ayrılma sebebine ilişkin olarak, veri sorumlusu ile yeni işvereninin İnsan Kaynakları Departmanları arasında e-posta yazışmaları yoluyla sınırlı bir veri aktarımının yapıldığının anlaşıldığı,
- İlgili kişinin veri sorumlusuna ayrılma nedenini “ailevi sebeplerden dolayı yurtdışına taşınma” ve yeni işverenine de daha önce çalıştığı iş pozisyonunu “Etik Direktörü” olarak beyan etmiş olması dikkate alındığında; her iki işverenin de yanlış bilgilerle yanıltılmış olması nedeniyle, veri sorumlusunun bu bilgilerle ilgili düzeltme yapmasının kişinin makul beklentisine aykırı olmadığı ve temel hak ve hürriyetlerini de ihlal etmediği sonucuna varıldığı,
- Ayrıca veri sorumlusu tarafından ilgili kişinin şirketlerinde çalıştığı iş pozisyonuna ilişkin gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirketlerinin adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, gerçeğe aykırı beyandan ötürü şirket alacağının tahsil edilmesi yönünde hukuki sürecin başlatılması, ilgili kişinin daha önce çalıştığı işyerindeki iş pozisyonu için yeni işverenini yanıltması sonucunda yeni işverenin mevzuattan kaynaklanan haklarını kullanabilmesi ve iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirilen söz konusu veri aktarımının hukuki gerekçesinin, Kanunun 5 inci maddesinin (2) numaralı fıkrasının (f) bendinde öngörülen “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” kişisel veri işleme şartına dayandığı kanaatine varıldığı,
- Diğer taraftan yeni işvereninin, ilgili kişinin kendi şirketlerinde işe başlamasına ilişkin kurumsal web sitesinde yaptığı duyuruda, ilgili kişinin yeni görevi, eğitim durumu ve daha önce çalıştığı işyerleri ve iş pozisyonlarının belirtildiği, yapılan web araştırması sonucunda, yeni işveren tarafından alenileştirilen bu bilgilerin ilgili kişinin kendisi tarafından da profesyonel sosyal iletişim ağı hesabında herkesin erişimine açık bir şekilde alenileştirildiğinin belirlendiği, bu doğrultuda veri sorumlusu tarafından ilgili kişinin açık rızası alınmaksızın gerçekleştirilen veri aktarımının Kanunun 5 inci maddesinin (2) numaralı fıkrasının (d) bendinde öngörülen “ilgili kişinin kendisi tarafından alenileştirilmiş olma” kişisel veri işleme şartına uygun olduğunun değerlendirildiği,
- Veri aktarımı olarak gerçekleşen söz konusu veri işleme faaliyetinin; yanlış bilginin düzeltilmesi gibi haklı bir gerekçeye dayandığı, veri aktarımının amacının belirli, açık ve meşru olduğu ve belirtilen amaç ile sınırlı olduğu ve ilgili kişi tarafından iddia edildiği üzere “hukuka ve dürüstlük kurallarına uygun olma” ve “belirli, açık ve meşru amaçlar için işlenme ilkesi” ne aykırılık teşkil etmediğinin değerlendirildiği,
- Ayrıca 4857 sayılı İş Kanununun 25/II-a maddesi gereğince “işçinin iş sözleşmesi yapıldığı sırada bu sözleşmenin esaslı noktalarından biri için gerekli vasıflar veya şartlar kendisinde bulunmadığı halde bunların kendisinde bulunduğunu ileri sürerek yahut gerçeğe uygun olmayan bilgiler veya sözler söyleyerek işvereni yanıltması”nın haklı nedenle derhal fesih sebebi olarak hüküm altına alındığı, yine aynı Kanunun 426 ncı maddesinde “İşveren, işçinin isteği üzerine her zaman, işin türünü ve süresini içeren bir hizmet belgesi vermekle yükümlüdür. İşçinin açıkça istemde bulunması hâlinde, hizmet belgesinde onun iş görmedeki becerisi ile tutum ve davranışları da belirtilir. Hizmet belgesinin zamanında verilmemesinden veya belgede doğru olmayan bilgiler bulunmasından zarar gören işçi veya işçiyi işe alan yeni işveren, eski işverenden tazminat isteyebilir.” hükümlerinin yer aldığı,
- Bu hükümler her ne kadar doğrudan yeni işvereni ve çalışanı ilgilendiriyor gibi görünse de, eski işveren için de talep olmasına gerek olmaksızın sorumluluk doğurduğu kanaatine varılmış olup veri sorumlusunun eski çalışanının kendi şirketinde çalıştığı iş pozisyonuyla ilgili yanlış bilgiyi düzelterek yeni işvereni bilgilendirme sorumluluğu hissetmesinin, makul ve olağan bir davranış olduğu sonucuna ulaşıldığı,
- Diğer taraftan iş etiği açısından bakıldığında, aynı sektörde faaliyet göstermelerinin doğal sonucu olarak, veri sorumlusunun eski çalışanı hakkındaki yanlış bilgiden haberdar olduğu halde doğru bilgiyi yeni işvereni ile paylaşmamasının ahlak, iyi niyet ve dürüstlük kurallarına da uygun olmayacağının değerlendirildiği,
- İlgili kişinin “kişisel verilere erişme yetkisi olanlar tarafından yetkilerini kötüye kullanmak suretiyle ve işlenme amacı dışında ilgili kişinin ve ailesinin kişisel verilerini üçüncü kişilerle paylaşarak Kanunu ihlal ettiği ve bu ihlallerin gerçekleşmesini önlemek için uygun güvenlik düzeyini temin etmeye yönelik gerekli herhangi bir teknik ve idari tedbir almadığı” yönündeki iddiası dikkate alındığında; e-posta yazışmaları yoluyla gerçekleşen veri aktarımının eski işveren ile yeni işverenin insan kaynakları müdürleri arasında yapılması ve insan kaynakları departmanının temel görevlerinden birisinin de kişilerin özlük dosyalarını tutmak olması nedeniyle veri sorumlusunun Kanunun 12 inci maddesi uyarınca veri güvenliğine ilişkin yükümlülüklerini ihlal etmediği
değerlendirmelerinden hareketle;
- Şikâyete konu kişisel veri işleme faaliyetinin hem kişisel verilerin korunması hem de iş mevzuatının ilgili maddelerine aykırılık teşkil etmediği, veri sorumlusu tarafından gerçeği yansıtmayan bilginin düzeltilmesi, şirket itibarının korunması, şirket adı kullanılarak yanlış bilgi üzerinden menfaat temin edilmesinin önlenmesi, ilerde oluşabilecek hukuki etkilerinin ortadan kaldırılması, iş yaşamında dürüstlük ve etik ilkelerin teşvik edilmesi amacıyla gerçekleştirildiği belirtilen söz konusu veri aktarımının Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması” kişisel veri işleme şartına dayandığı, bu kapsamda Kanunun “Kişisel verilerin aktarılması” başlıklı 8 inci maddesi kapsamında söz konusu veri aktarımının hukuka aykırı bir veri işleme olmadığı sonucuna varıldığından veri sorumlusu hakkında herhangi bir müeyyide uygulanmasına yer olmadığına,
- Bununla birlikte Kanunun “İlgili kişinin hakları” başlıklı 11 inci maddesi uyarınca, ilgili kişinin kişisel verilerinin rızası dışında üçüncü kişilere aktarımına ilişkin talebinin veri sorumlusu tarafından yeterli düzeyde karşılanamadığı, bu çerçevede ilgili kişinin talebi doğrultusunda “belirli tarihler arasında veri sorumlusu İnsan Kaynakları Departmanı çalışanları tarafından kanunlarda açıkça öngörülmesi ve Kanun kapsamında veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması durumları haricinde, ilgili kişiye ait kişisel verilerin ilgili kişinin açık rızası dışında herhangi bir iletişim aracı vasıtasıyla herhangi bir gerçek ve/veya tüzel kişiye aktarılıp aktarılmadığı; böyle bir aktarım yapıldıysa, yapılan bu aktarımın hangi amaçla yapıldığını, aktarımın içeriğini, aktaran ve aktarılan kişileri de gösterir orijinal metnin kopyasını içeren bilgi, belge vb. dokümanın” Kuruma sunulduğu üzere ilgili kişiye de sunulması ve akabinde söz konusu bilgi, belge vb. dokümanın ilgili kişiye sunulduğuna dair Kuruma bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına
karar verilmiştir.