Türkiye – Kişisel Verileri Koruma Kurulu’nun 19.03.2021 Tarihinde Yayımladığı Kararlara İlişkin Özetler

“İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti

 Bir çalışan tarafından işveren şirkete yapılan başvuruda 11. Madde kapsamında bilgi talep edilmesine ve işveren tarafından genel bilgilendirme yapılmasına istinaden yapılan şikayet üzerine Kurul yaptığı incelemede,

• Aydınlatma yükümlülüğünün gerek açık rıza alınacağı durumlarda gerek Kanundaki diğer kişisel veri işleme şartlarından bağımsız olarak yerine getirilmesi gereken bir yükümlülük olduğu,
• Veri sorumlusu tarafından aydınlatma yükümlülüğü yerine getirilirken; öncelikle veri sorumlusunun kimliğine, kişisel verilerin hangi amaçlarla işlendiğine, kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceğine, elde edilecek kişisel verilerin toplanma yöntemlerine, işlemenin hukuki sebeplerine ve ilgili kişinin Kanunun 11 inci maddesindeki haklarına aydınlatma metninde yer verilmesi gerektiği,
• Aydınlatma metinde çeşitli kişisel veri kategorileri sıralandıktan sonra “(…) sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın (…)” ifadesine yer verildiği ve hangi kişisel verilerin işleneceği (kategorik olarak) hususunun muğlak bırakıldığı, işlenecek veri kategorileri sıralandıktan sonra veri işleme amaçları da art arda sıralanmak suretiyle hangi veri kategorisinin hangi amaçla işleneceğine dair herhangi bir açıklamaya yer verilmediği, metinde “…. uygun gördüğü diğer üçüncü kişilere ve/veya yurt dışında paylaşılabileceği” ifadesinin yer aldığı bu kapsamda kimlere aktarım yapılacağının muğlak bir şekilde veri sorumlusuna bırakıldığı,
• Parmak izi verisi işlenmesine rağmen aydınlatma metninde buna yer verilmediği, biyometrik verilerin hash yöntemi ile saklandıklarında biyometrik veri olma niteliklerini kaybetmedikleri;
• Parmak izi verisinin işlenme amacının Kanunun genel ilkeleri arasında yer alan “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırı olduğu, örneğin fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS’in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken çalışanların biyometrik veri niteliğindeki parmak izi verisinin alınmasının veri işleme faaliyeti ile orantısız bir veri işleme olduğunun değerlendirildiği,
• İlgili kişilerin açık rızasının alınacağı hallerde; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte; açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza verebilmesi için, neye rıza gösterdiğini de bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin, veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde, mutlaka verinin işlenmesinden önce yapılması gerektiği, ayrıca açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı sonucunda olması ve açık rızanın özgür iradeyle açıklanması gerektiğinden, herhangi bir hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği, örneğin işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığının kabul edilemeyeceği,
• Somut olayda, veri sorumlusu tarafından açık rıza metninin onaylanması için çalışanlara e-postalar gönderildiği, metni imzalamayan çalışanların listesinin tutulduğu, bu listelerin başkaca çalışanlara gönderilmesi suretiyle metni imzalamayan çalışanların metni imzalamalarının sağlanmasının talep edildiğinin anlaşıldığı, bununla birlikte çalışan tarafından onayın verilmemesi sebebiyle özlük dosyasının tamamlanmamış kabul edildiği durumlarda; işçiye rıza göstermeme imkânının etkin bir biçimde sunulmamasından ötürü verilen rızanın, geçerli bir açık rıza beyanı olarak değerlendirilemeyeceği, öte yandan, işçinin eşine ve çocuğuna ait kişisel verilerin işlenmesi için açık rıza vermesinin geçerlilik taşımayacağı,
• İşlenen kişisel verilerin aktarıldığı üçüncü kişiler arasında “Bu bölümde sayılan şirketlerin yerini alabilecek diğer şirketler” benzeri ifadelerin yer alması halinde, işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi tarafından tam olarak bilinemeyebileceğinden, bu şekilde verilen rızanın açık rıza olarak değerlendirilmesinin mümkün olmayacağı,
• Serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanunun 9 uncu maddesine uygun hareket edilmesi gerektiği,
• Veri sorumlusunun çalışanlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığının anlaşıldığı, veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu hükme bağlandığı, ancak veri sorumlusunun Kanunla kendisine yüklenmiş olan bu yükümlülükleri yerine getirmediği

Kanaatine varıldığını ifade edilmiştir. Bu gerekçeler ile Aydınlatma yükümlülüğünü yerine getirmediği gerekçesiyle veri sorumlusu hastane hakkında 50.000TL ve Veri sorumlusunun çalışanlarının ve yakınlarının açık rızaları olmaksızın kişisel verilerini ve özel nitelikli kişisel verilerini işlediği, işlediği özel nitelikli kişisel veriler bakımından Kanunun 4 üncü maddesinde yer alan genel ilkelerden ölçülülük ilkesine aykırı hareket ettiği ve bu verileri yine çalışanlarının açık rızası olmaksızın yurtiçi ve /veya yurtdışına aktardığı görüldüğünden, Kanunun 12 nci maddesinin birinci fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği gerekçesiyle 200.000TL idari para cezasına karar verilmiştir.

“Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 28/05/2020 tarihli ve 2020/435 sayılı Karar Özeti

İş akdi sona erdirilen eski bir çalışan tarafından işverene noter kanalıyla gönderilen ihtarname içerisinde yazılı savunma ve istifa dilekçesinin birer örneğinin talep edilmesi karşısında veri sorumlusu tarafından talebe cevap verilmemesi üzerine yapılan şikayete ilişkin olarak Kurul yaptığı inceleme neticesinde,

• Kişisel veri kavramının kimliği belirli veya belirlenebilir olmak şartıyla, bir kişiye ilişkin bütün bilgileri ifade ettiği, bu bağlamda talep edilen belgelerin de kişisel veri niteliğinde olduğu ve ilgili kişinin kişisel verilerine erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceğinin değerlendirildiği,
• Kişisel verilerin özlük dosyasında muhafaza edilmesinin veri işleme faaliyeti olduğu,
• Kanunun uygulanmasıyla ilgili taleplerin yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletilebileceği,

Kanaatine varıldığı ifade edilmiştir. Bu gerekçeler ile başvurucuya talep ettiği belgelerin sunulması ve ilgili kişi başvurularının zamanında cevaplandırılması hususlarında veri sorumlusunun talimatlandırılmasına karar verilmiştir.

“İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesi”ne ilişkin Kişisel Verileri Koruma Kurulunun 09/02/2021 tarihli ve 2021/111 sayılı Karar Özeti

Bir alacak ile ilgili olarak hukuk bürosu tarafından başvurucuya ait olmayan ve fakat yakınına ait bir borca ilişkin olarak iki adet kısa mesaj (SMS) gönderilmesi üzerine yapılan şikâyete ilişkin olarak Kurul yaptığı inceleme neticesinde,

• YTS (“Yasal Takip Sistemi” : icra dosyalarının takibinde kullanılan bir sistem) isimli kayıt sistemine kendilerine tevdi edilen dosyalara ek veri girişinde bulunmak suretiyle kendi amaçları doğrultusunda etki yapan ve işleme faaliyetinin amaç ve araçlarının belirlenmesi sürecine katılan hukuk bürolarının sürecin belli aşamalarında veri işleme faaliyetlerine katıldığının anlaşıldığı, bu çerçevede alacaklı Şirket ile birlikte ilgili hukuk büroları avukatlarının da veri sorumlusu olduğu,
• Borçlunun yakını olan başvurucuya ait telefon numarasının 118 gibi kamuya açık platformlardan ya da borçlu veya bir yakınından elde edilmesinin kişisel verinin açık rıza dışındaki işleme sebepleri yönünden hukuki bir dayanak teşkil etmediği,
• Alacaklı şirketin, YTS’de kayıtlı verileri bir hukuk bürosundan diğerine aktarından doğru ve güncel olduklarını teyit etmemesinin kişisel verilerin işlenmesine hakim olan genel ilkelerden biri olan doğru ve gerektiğinde güncel olma ilkesine aykırılık teşkil ettiği,
• YTS’de açıkça başvurucunun numarasının borçlu yakınına ait olduğu görülmesine rağmen SMS gönderilmesinin hukuka aykırı kişisel veri işleme faaliyeti niteliğinde olduğu,

Kanaatine varıldığı ifade edilmiştir. Bu gerekçeler ile telefon numarasını ilk olarak elde eden veri sorumlusu avukat hakkında 50.000TL, kişisel verileri doğruluğunu teyit etmeksizin ikinci hukuk bürosu ile paylaşan veri sorumlusu alacaklı şirket hakkında 115.000TL ve başvurucuya SMS gönderen veri sorumlusu ikinci avukat hakkında 50.000TL idari para cezasına karar verilmiştir.

“Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi” hakkında Kişisel Verileri Koruma Kurulunun 22/05/2020 tarihli ve 2020/414 sayılı Karar Özeti

Yurtdışında meydana gelen bir olay nedeniyle 2009 yılında hüküm giyen ve cezası infaz olunan ilgili kişinin hakkındaki bu bilginin Google arama motorunda kişinin adı soyadı ile yapılan arama neticesinde ulaşılan bir haber sitesinde yer alan haber dolayısıyla ulaşılabilir olduğu, bunun da iş hayatını ve ailesini olumsuz etkilediği gerekçesiyle ilgili haberin kaldırılmasının talep edilmesi karşısında veri sorumlusunun talebi reddetmesi üzerinde Kurul yaptığı inceleme neticesinde,

• İfade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin aşağıdaki kriterler kapsamında değerlendirilmesi suretiyle hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem arz ettiği,

1. Kamu ilgi ve yararı taşıması: Kamu yararının tespitinde, haberin kişilerin gereksiz merak duygularına mı yoksa yüksek ahlaki ve hukuki değerlerin korunmasına mı hizmet ettiğinin değerlendirilmesinin uygun olacağı,  bu anlamda, toplumsal ilgi uyandıran, kamuoyu üzerinde düşünmeye ve tartışmaya sevk eden, belli bir sorunun aydınlanmasına ve buna çözüm yollarının gösterilmesine hizmet eden olayların açıklamasında kamu yararının bulunduğu,
2. Gerçek ve güncel olması: Gerçeklik unsurunun, somut gerçeğe değil, olayın, haberin verildiği andaki beliriş biçimine uygunluk olarak anlaşılması gerektiği, haberin güncel olmasının ise somut olayın açıklandığı tarihlerde kamu yararının bulunması esasına dayandığı, üzerinden süre geçmiş ve açıklanmasında artık kamu yararı bulunmayan bir olayın yayımlanmasında haber verme hakkından söz edilemeyeceğinden, burada kişilik hakkına üstünlük tanınması gerekeceği, geçmişteki bir olayın gündeme getirildiği haberin, hukuka uygun kabul edilebilmesi için kamu yararı taşıması gerektiği;
3. Özü ile biçimi arasındaki denge: Haberde kullanılan dil, ifade ve resimlerin haberin veriliş biçiminin gerektirdiği ölçüde olması, haberin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulmaması gerektiği, haberin özü ile biçimi arasında denge gözetilmesi gerekliliği bulunduğu,

• Basın özgürlüğüne yapılan sınırlamanın daha dar yorumlanabilmesine olanak sağlayacak olan ilgili kişinin toplum tarafından tanınır, bilinir olma gibi siyasetçi, ünlü veyahut kamu görevlisi olma kriterlerinden birini taşıdığına dair herhangi bir bilgiye yapılan incelemelerde rastlanılmamış olmakla birlikte bahse konu olaya konu haberin kamu ilgi ve yararının yasa dışı uygulamalar, rüşvet ve yolsuzlukların kamuoyuna iletilmesi gibi değerlendirilebilecek olan insan kaçakçılığı suçunu işleyen failler hakkında olduğunun görüldüğü, bu kapsamda, haberin yayınlanması ile toplumun bilgilendirilmesi ve bu durumdan haberdar edilmesinin toplumsal bir faydaya yol açabileceğinin mümkün göründüğü, dolayısıyla, söz konusu haber her ne kadar toplum tarafından tanınır olmayan bir vatandaş hakkında olmuş olsa dahi bu haberin kamuya duyurulmasında kamunun ortak menfaatinin bulunduğu,
• İlgili kişinin kendisine ilişkin verinin söz konusu habere konu edilerek yayımlanmasında hâlihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği

Kanaatine varıldığını ifade edilmiştir. Bu gerekçeler ile söz konusu başvurunun Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi çerçevesinde değerlendirilmesi nedeniyle ilgili kişinin şikayeti ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.

“İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmaması”na ilişkin Kişisel Verileri Koruma Kurulu’nun 05/05/2020 tarihli ve 2020/335 sayılı Karar Özeti

Veri sorumlusu araç kiralama şirketinin araç kiralama sözleşmesi ile ilgili belgelerle birlikte kişisel verilerinin işlenmesine dair açık rıza verdiğine ilişkin evrakın da imzalanmasını talep etmesi neticesinde başvurucunun açık rıza vermemesi nedeniyle araç kiralama hizmetinin sunulmamasına istinaden yapılan başvuruya veri sorumlusu tarafından cevap verilmemesi üzerinde yapılan şikayete istinaden Kurul yaptığı inceleme neticesinde kişisel verilerin veri sorumlusu tarafından Kanunun 5 inci maddesinin ikinci fıkrası kapsamında işlendiği haller haricinde kişisel verilerin işlenmesi ve yurtdışına aktarımın sağlanması amacıyla açık rıza almasının ayrıca açık rızanın hizmetin dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının söz konusu olduğunun görüldüğü bununla birlikte diğer kişisel veri işleme şartlarının varlığı söz konusu iken açık rıza alınmasının, ilgili kişinin yanıltılması ve yanlış yönlendirilmesi dolayısıyla veri sorumlusunca hakkın kötüye kullanılması anlamına geldiği ve ayrıca gerekçesiyle hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi nedeniyle veri sorumlusu hakkında 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

“İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/407 sayılı Karar Özeti

Şikayete konu hastanenin Tüp Bebek bölümüne tahlil için başvurduğu, tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark edilmesi üzerine ilgili kişi tarafından veri sorumlusu hastaneden bilgi talep edilmesi üzerine hastanenin hatasını kabul ettiğine dair verdiği cevap üzerine yapılan şikayete ilişkin olarak Kurul tarafından yapılan incelemede:

• İlgili kişinin tahlil sonuçlarının sağlıkla ilgili özel nitelikli kişisel veri olduğu,
• Bahse konu tahlil sonuçlarının üçüncü bir taraf olarak, hastaneden bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilen doktorun asistanına mail atılmak suretiyle aktarılmasında Kanunun 8 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığından ve veri sorumlusu Hastane tarafından da söz konusu aktarımın sehven yapıldığının beyan edilmiş olmasından hareketle ilgili kişinin kişisel verilerinin hukuka aykırı olarak aktarıldığı kanaatine varıldığı,
• Kişisel verileri işleme konusunda gerçekleştirdiği faaliyetler kapsamında bizatihi kendilerinin “veri sorumlusu” olduğu, ilgili düzenlemelerde belirtilen hukuki sorumluluğun da tüzel kişinin şahsında doğacağı, bu konuda kamu hukuku tüzel kişileri ve özel hukuk tüzel kişileri bakımından bir farklılık gözetilmediği,

Kanaatine varıldığını ifade edilmiştir. Bu gerekçeler ile veri sorumlusu hastane hakkında 100.000TL idari para cezasına karar verilmiştir.

“İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/396 sayılı Kararı

 İlgili kişinin memuriyete ilk giriş tarihinden önce hakkında verilmiş olan ceza kararının özlük dosyasında yer aldığı, verilen kararda yer alan beş yıllık denetim süresinin dolduğu ve davanın düşmesine karar verildiği, kararın adli sicil kaydından silindiği, bu itibarla özlük dosyasında yer alan mezkûr karar ve ilgili dosyanın kaldırılarak imha edilmesi için veri sorumlusu çalıştığı kuruma yapmış olduğu başvurunun reddedilmesine istinaden yaptığı şikayete istinaden Kurul tarafından yapılan incelemede şikâyete konu kişisel verinin özel nitelikli kişisel veri olduğu ve ilgili kişinin söz konusu mahkeme kararlarının özlük dosyasında yer almasına ilişkin hâlihazırda açık rızasının bulunmadığı; bununla birlikte, Kanun bakımından söz konusu kişisel verinin işlenmesine ilişkin “kanunilik” unsurunun öğretide ifade edilen “maddi kanun” olarak değerlendirilmesi gerektiği kanaatine varıldığından Devlet Personel Başkanlığınun Kurum görüş talebine verdiği cevap ve 2 Seri No’lu Kamu Personeli Genel Tebliği hükümleri uyarınca mer’i mevzuat bakımından sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar verilmiştir.

“Bir tıp merkezinin internet sitesinde video tanıtım bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu tıp merkezi tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 14/05/2020 tarihli ve 2020/379 sayılı Karar Özeti

 Bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak “Video Tanıtım” bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ve iş sözleşmesi sona ermiş olduğundan kullanılan bu verilerin işleme amacı veya konusunun kalmadığı gerekçesiyle veri işlemenin durdurulmasını ve verilerin kaldırılmasını talep eden ilgili kişinin başvurusuna veri sorumlusu tarafından rağmen yasal sürede bilgi verilmemesine istinaden yapılan şikayet üzerine Kurul yaptığı incelemede,

• İlgili kişiye ait görüntülerin kişisel veri niteliğinde olduğu,  şikâyet başvurusunda bulunanın gerçek kişi olması nedeniyle ilgili kişi sıfatını haiz olduğu, kişisel verilerin hangi amaçla ve araçla işleneceğini belirleyip veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olduğu için Tıp Merkezinin veri sorumlusu olduğu, veri sorumlusu tarafından reklam yapmak amacıyla ilgili kişinin görüntülerinin kullanılmasının kişisel veri işleme faaliyeti olduğu,
• Kurulun savunma, bilgi/belge talebini içeren resmi yazısının veri sorumlusuna 01.08.2019 tarihinde tebliğ edilmesine rağmen söz konusu tarih itibariyle veri sorumlusu tarafından Kurula herhangi bir savunma ve bilgi/belge iletilmediği,
• İlgili kişinin tüm kişisel verilerinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalktığı halde yerine getirilmediği, kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine Kanunda yer alan hukuki sebeplerden herhangi birine dayanmaksızın devam edildiği, , kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı,

Kanaatine varıldığını ifade ederek, veri sorumlusu hakkında 75.000TL idari para cezası ile birlikte işlenmesini gerektiren herhangi bir sebep bulunmaması durumunda veri sorumlusunun ilgili kişiye ait işlenen tüm kişisel verilerin silinmesi veya yok edilmesi ve tevsik edici belgelerin ilgili kişiye ve Kurula gönderilmesi ve başvuruda bulunan ilgili kişilere cevap verilmesine ilişkin gerekli özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir:

“İlgili kişinin kendisine iletilmesi gereken cevap yazısının veri sorumlusu tarafından resmi yazı şeklinde, çalıştığı birime gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 05/05/2020 tarihli ve 2020/336 sayılı Karar Özeti

 Daha önce personeli olduğu veri sorumlusu Üniversitenin Sanat Tarihi Bölümüne iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusundan kendisine bilgi verilmesini talep edilmesi ve bu kapsamdaki talebe ilişkin cevabın, doğrudan ve sadece başvuru sahibine verilmesi gerekirken başvurunun, başvurucunun halihazırda görevli olduğu aynı Üniversitenin Meslek Yüksekokulu Müdürlüğüne, tüm taraflara açık biçimde yazılmış ve personele iletilen alelade resmi yazı şeklinde iletilmesi nedeniyle yapılan başvuruya veri sorumlusu tarafından cevap verilmemesine istinaden yapılan şikayet üzerinde Kurul yaptığı inceleme neticesinde,

• Veri sorumlusunun kendisine yapılan başvuruya cevap vermemesinin Tebliğin 6 ncı maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiği ve ilgili veri sorumlusu tarafından 6698 sayılı Kanun kapsamında kendilerine yapılan başvurulara Tebliğe uygun olarak cevap verilmesi hususunda azami dikkat ve özenin gösterilmediği,

• İlgili kişinin Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusuna başvurusuna verilen yanıtın, ilgili kişinin çalıştığı birime gönderilmesi suretiyle kişisel verilerinin açıklanmasında Kanunun 5 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığı,

Kanaatine varıldığı ifade edilmiştir. Bu kapsamda veri sorumlusunun 6698 sayılı Kanun kapsamında kendilerine yapılan başvurulara Tebliğe uygun olarak cevap verilmesi hususunda azami dikkat ve özenin gösterilmesi konusunda talimatlandırılmasına ve veri sorumlusu kamu tüzel kişisi olduğundan sorumlular hakkında Kanunun 18 inci maddesinin üçüncü fıkrası çerçevesinde işlem yapılarak (sorumlular hakkında disiplin soruşturması yapılması) işlemin sonucu hakkında Kurula bilgi verilmesine karar verilmiştir.