İrlanda Veri Koruma Kurumu

Yıllık Raporlarda Yer Almayan

Örnek Vaka İncelemeleri

Aşağıda İrlanda Veri Koruma Komisyonu olan (Data Protection Commission/DPC) yıllık raporlarında yer almayan  vaka incelemelerinin listesi yer almaktadır. Bu vaka incelemeleri, Veri Koruma Komisyonu’ nun günlük olarak soruşturduğu bazı konular hakkında fikir vermektedir.

Vaka İncelemesi 1: Bir bankacılık sisteminde tutulan yanlış bilgiler

Bu olayda şikâyetçi, başka bir kişiyle birlikte bir taşınmaz üzerinde ipotek borçlusuydu. Şikâyetçi ve diğer kişi, orijinal taşınmazdan ayrılıp farklı adreslere taşındılar. Şikâyetçinin bankası bu durumun farkında olmasına rağmen,  şikâyetçinin konut kredisi ile ilgili yazışmalarını şikâyetçinin eski adresine gönderdi ki bu adrese gönderilen yazışmalar da sitedeki kiracılar tarafından okundu.

Bu iddiaya cevaben şikâyetçinin bankası, ipotek sisteminin tek bir yazışma adresi olacağı varsayımı üzerine kurulduğunu, ipoteğin müşterek ortaklarının mutabık kalınmış tek bir yazışma adresi bulunmadığı durumlarda bunun sistem dışında manuel olarak yönetilmesi gerektiğini, bunun da bazen hatalara neden olduğunu ifade etmiştir.

Şikâyetçinin kişisel verilerini şikâyetçinin ipoteğini yönetme amacıyla kontrolü altında bulundurduğundan şikâyetçinin bankasının, şikâyetin amaçları yönünden veri sorumlusu olduğu açıktır. Söz konusu veriler (diğerlerinin yanı sıra) şikâyetçinin veri sorumlusundaki ipoteği ile ilgili finansal bilgilerden oluşmaktadır.  Bu veriler, bir birey olarak şikâyetçi ile ilgili olduğu ve bu bilgilerden hareketle şikâyetçinin kimliği belirlenebilir olduğu için kişisel veridir.

Genel Veri Koruma Tüzüğü (GDPR ) dâhil Veri Koruma Mevzuatı, bir kişinin kişisel verilerini işlerken veri sorumlusunun uyması gereken açık ilkeleri ortaya koymaktadır. İnceleme konusu bu iddia ile özellikle ilgili olan, verinin doğru ve gerektiğinde güncel tutulmasını sağlama ve kişisel veriyi koruma adına uygun güvenlik önlemlerinin alınması yükümlülükleridir.

Bu şikâyete konu olaylara bahsi geçen ilkeleri uygularken, şikâyetçinin güncel olmayan bir adresini tutarak ve bu adrese şikâyetçinin yazışmalarını göndererek veri sorumlusu, Genel Veri Koruma Tüzüğü’nün 5(1)(d) maddesi uyarınca şikâyetçinin kişisel verisini güncel bir şekilde tutmakta başarısız olmuştur. Ek olarak, yanlış adrese gönderilen çok sayıda yazışma bulunduğu dikkate alındığında veri sorumlusunun güvenlik önlemleri, 5(1)(f) maddesine göre şikâyetçinin verisini uygun şekilde koruyamamıştır. Madde 5(1)(f)’ ye göre uygun güvenlik önlemlerinin uygulanması yükümlülüğü, uygun güvenlik önlemlerinin uygulanıp uygulanmadığına karar verirken veri sorumlusu tarafından dikkate alınması gereken hususları düzenleyen Genel Veri Koruma Tüzüğü’nün 32. maddesine göre yorumlanmalıdır.

Vaka İncelemesi 2: Bir erişim talebine tam olarak cevap verilmemesi

Bu şikâyet, şikâyetçi tarafından ileri sürülen bir erişim talebi ile ilgilidir. Şikâyetçi bir ilçe meclisi olan veri sorumlusundan, kendisi hakkında elektronik ya da manuel olarak tutulan tüm bilgilerin bir kopyasına erişme talebinde bulunmuş ve ancak veri sorumlusu şikâyetçinin bu talebini reddettiğinden şikâyetçi bu durumdan memnun değildir. Veri sorumlusu söz konusu verilerin bir kopyasını vermek yerine, şikâyetçiye talep konusu dosyaları çevrimiçi olarak ya da veri sorumlusuna ait tesiste incelemeyi önermiştir.

Bu şikâyetin soruşturulması sırasında şikâyetçi, veri sorumlusunun tesislerinde kendisine sunulan dosyaların, kendisi hakkında veri sorumlusu tarafından tutulan tüm kişisel verileri içermediğini iddia etmiştir.

Bununla birlikte veri sorumlusu, şikâyetçinin erişim talebinde planlama başvurusu için referans numarası belirtildiğinden şikâyetçinin erişim talebinin (yalnızca bu) iki adet planlama başvurusu ile bağlantılı olarak tutulan kişisel veriler ile sınırlı olduğu görüşündedir. Buna göre veri sorumlusu, kamuya açık bir şekilde şikâyetçiye sunulmuş olan “herkesin erişimine açık planlama dosyalarıyla ilgili kişisel veriler” ile veri sorumlusunun erişim talebinin kapsamı dışında kaldığını değerlendirdiği “şikâyetçinin planlama başvurularının reddini takiben oluşan kişisel veriler” arasında bir ayrım yapmaya çalışmıştır.

Şikâyetçi belirgin şekilde iki adet planlama başvurusundan bahsederken, erişim talebini genel bir şekilde ifade etmiştir ve “elektronik ya da manuel şekilde tutulan kendisi hakkındaki her türlü bilgiye” erişmek istemiştir. Buna göre, şikâyetçi tarafından talep edilen kişisel veriler, belirgin iki planlama başvurusunda bulunulmadan önce veri sorumlusunun, şikâyetçi ile etkileşimi bağlamında ortaya çıkan ve bu başvuruların reddedilmesinden sonra ortaya çıkan tüm verileri içermektedir.

Bu dosyanın özel durumları nedeniyle veri sorumlusu, şikâyetçinin erişim talebine cevap olarak idari süre içerisinde şikâyetçinin kişisel verilerine tam bir kopya sağlamadığından veri koruma yükümlülüklerine aykırı davranmıştır. Genel Veri Koruma Tüzüğü’nün 15. maddesi veri sorumlusunun ilgili kişiler ile ilgili olarak tuttuğu kişisel verilere ilgili kişinin erişim hakkı ile ilgilidir. Madde 12(3) veri sorumlusunun bahsi geçen kişisel verileri sağlaması gereken koşulları düzenler. Veri sorumlusunun böyle bir talebe istinaden gerçekleştirilen işlem hakkında gecikmeksizin ve her durumda en geç talebin alınmasından itibaren 1 ay içerisinde bilgi sağlama görevi bulunmaktadır. Belirtilen sürelerin uzatılmasını sağlayabilecek koşullar da bu maddede düzenlenmiştir.

Vaka İncelemesi 3: İşyerinde CCTV (Kapalı Devre Kamera Sistemi) Kullanılması

Veri sorumlusu tarafından şikayetçinin çalıştığı işyerinde CCTV (Kapalı Devre Kamera Sistemi) kameraların kullanılması ve (diğer kişisel verilerin yanı sıra şikâyetçinin görüntüsünden oluşan kişisel verilerini içeren) Kapalı Devre Kamera Sistemi görüntülerinin, şikâyetçinin veri sorumlusu için çalıştığı süre boyunca sergilediği performansının gözetlenmesi amacıyla veri sorumlusu tarafından izlenmesi ile ilgili bir şikâyet aldık.

Şikâyetin yapıldığı sırada, veri sorumlusunun işyerinde Kapalı Devre Kamera Sisteminin güvenlik ve emniyet amacıyla bulunduğunu belirten bir Kapalı Devre Kamera Sistemi Politikası vardı. Bu aynı zamanda Kapalı Devre Kamera Sistemi kameralarının çalıştığı yerlerde bulunan tabelalarda da yazıyordu. Bu durum, şikâyetçinin kişisel verilerinin başlangıçtaki toplanma amacının güvenlik ve emniyet olduğunu gösteriyordu. Ancak şikâyetçi ile yapılan bir toplantı sırasında bir müdür şikâyetçiye, şikâyetçinin kişisel verilerini içeren Kapalı Devre Kamera Sistemi görüntülerinin şikâyetçinin veri sorumlusu için çalıştığı sıradaki performansını izlemek amacıyla gözden geçirildiğini bildirdi. Bu amaç Kapalı Devre Kamera Sistemi Politikasında ve tabelalarda, ortaya konulan işleme amaçlarından bir tanesi değildi. Veri sorumlusu da şikâyetçinin kişisel verilerinin bu şekilde işlenmesinin kendi politikalarına aykırı olduğunu kabul etmiştir.

Kişisel verilerin toplanma amacı dışında bir amaçla işlediği durumlarda, bu sonraki işlemenin altında yatan amaç, başlangıçtaki amaçla uyumsuz olmamalıdır. Şikâyetçinin kişisel verilerinin kullanılması ile bağlantılı olarak, şikâyetçinin performansının gözlenmesi amacı, Kapalı Devre Kamera Sistemi görüntülerinin başlangıçtaki toplanma amacı olan güvenlik ve emniyetten ayrı ve farklıdır. Bu bağlamda şikâyetçinin Kapalı Devre Kamera Sistemi görüntülerinde yer alan kişisel verilerinin performans izleme amacıyla işlenmesi, kişisel verilerin başlangıçtaki toplanma amacı ile uyumsuz bir veri işlemedir.

(İnceleme sırasında) Kapalı Devre Kamera Sistemi ve Kapalı Devre Kamera Sistemi loglarına nasıl erişildiğine dair güvenlikle ilgili başka bir sorun ortaya çıkmıştır. Veri Koruma Komisyonu’na gönderilen yazılı cevaplarda, veri sorumlusu şikâyet zamanında, Kapalı Devre Kamera Sistemi görüntülerine departmanda bulunan ve herhangi bir log-in (giriş) bilgisi gerektirmeyen bağımsız bir bilgisayardan erişilebildiğini ifade etmiştir. Veri sorumlusunun cevapları, Kapalı Devre Kamera Sistemi görüntülerine erişimlerin manuel ya da otomatik şekilde kaydedilmediğini göstermiştir. Kapalı Devre Kamera Sistemi görüntüleri için erişim loglarının bulunmayışı veri güvenliğinde genel bir eksikliktir. Veri sorumluları kişisel verilere erişimin söz konusu olduğu durumlarda Genel Veri Koruma Tüzüğü’nün 32. maddesine uyumlu bir şekilde uygun idari ve teknik tedbirleri uygulamak zorundadırlar.

O zamandan bu yana Kapalı Devre Kamera Sistemi politikası (veri sorumlusu tarafından) önemli ölçüde revize edilmiş ve yeni bir politika ile değiştirilmiştir. Veri sorumlusu, kullanılan bilgisayarın deaktive edildiğini ve kaldırıldığını teyit etmiştir. Kapalı Devre Kamera Sistemi kayıtlarına erişim, artık belirli bir birimdeki tek bir kişi ile sınırlıdır ve kayıtlar yalnızca bir güvenlik ihlali ya da kaza olması durumunda gözden geçirilebilmektedir.

Bu tür bir durumda özellikle önemli olan yükümlülükler, madde 5(1)(a) uyarınca kişisel verinin dürüstlük kuralına uygun bir şekilde işlenmesi ve madde 5(1)(b) uyarınca bu türden verilerin belirli bir amaçla elde edilmesi ve bu amaçlarla uyumlu olmayan daha sonraki bir amaçla işlenmemesidir. Dahası madde 5(1)(f) ve madde 32 uyarınca, kişisel verilerin güvenliğini sağlayacak uygun güvenlik tedbirleri alınmalıdır

Vaka İncelemesi 4: CCTV (Kapalı Devre Kamera Sistemi) Görüntülerine Erişim

Bu şikâyet, şikâyetçi tarafından bir eğitim kurumuna iletilen CCTV (Kapalı Devre Kamera Sistemi) görüntülerine erişim talebine eksik cevap verilmesi iddiası ile ilgilidir.

Şikâyetçiye iddia konusu olan bir saldırı girişiminin kurbanı olduğu bildirilmiştir. Şikâyetçi iddia konusu saldırının gerçekleştiği zamana ilişkin olarak özellikle belirli bir zaman aralığına ait iki farklı kameranın açısından, Kapalı Devre Kamera Sistemi görüntülerine erişme talebinde bulunmuştur.

Talebe kurum tarafından verilen cevapta, şikâyetçiye tek bir kameranın Kapalı Devre Kamera Sistemi görüntülerinden seçilmiş belirli sayıda hareketsiz görüntü verilmiştir.  Şikâyetçi, kendi görüntüsünün göründüğü andan itibaren her saniye için bir adet hareketsiz görüntü verilmesini talep etmiştir. Eğitim kurumu tarafından verilen cevapta, kurumun görüşüne göre “önemli” tüm görüntülerin sunulduğu ve Kapalı Devre Kamera Sistemi kameralarının 30 günlük bir kayıt döngüsünün bulunduğu, bu görüntülerin üzerine görüntü kaydedildiği ifade edilmiştir. Veri sorumlusu herhangi bir kamera görüntüsünün, aksini söyleyen “yasal bir zorunluluk” olmadıkça saklanmadığını açıklamıştır.

Veri Koruma Komisyonu, bir veri sorumlusuna geçerli bir erişim talebi yapıldığında, veri sorumlusunun belli bir süre içerisinde talebi yerine getirmesi gerektiğini ifade etmiştir (Genel Veri Koruma Tüzüğü’nün 12(3) maddesine göre bu süre genellikle bir ay olarak belirlenir). Kişisel verilere erişim hakkı Veri koruma Mevzuatında öngörülmüş en önemli temel haklardan bir tanesidir. Kapalı Devre Kamera Sistemi görüntülerine erişim talebi bağlamında, veri sorumlusunun talebe konu olan kişisel verilerin bir kopyasını sağlama yükümlülüğü genellikle Kapalı Devre Kamera Sistemi görüntülerinin kopyasının video formatında sunulmasını gerektirir. Teknik olarak görüntünün başka bir cihaza kopyalanmasının mümkün olmaması gibi bir nedenle yahut başka istisnai hallerde bu mümkün değil ise, video görüntülerine alternatif olarak ilgili kişiye hareketsiz görüntülerin sunulması kabul edilebilir. Ancak, hareketsiz görüntülerin sunulması gibi durumlarda veri sorumlusu, ilgili kişinin görüntüsünün bulunduğu kaydın her saniyesinin bir hareketsiz görüntüsünü ilgili kişiye vermeli ve hangi gerekçe ile görüntüleri video formatında sunmadığına dair açıklama yapmalıdır. Veri sorumlusu ayrıca, talepte bulunana verilen yanıttan memnun olduğunu teyit edene kadar belirtilen süre ile ilgili tüm görüntüleri muhafaza etmelidir.

Veri sorumlusu talep edilen Kapalı Devre Kamera Sistemi görüntülerini ya da belirtilen süreye ilişkin hareketsiz görüntülerin tam bir setini şikâyetçiye sunmadığından, veri sorumlusu erişim hakkı ile ilgili yükümlülüklerini, hem madde 12(3) uyarınca süre perspektifinden ve hem de madde 15 uyarınca veri sorumlusu tarafından işlenen kişisel verileri tam ve eksiksiz bir şekilde sağlanması yönünden ihlal etmiştir.

Vaka İncelemesi 5: Kişisel verilere erişim talebini reddederken gerekçelerin belirtilmesi yükümlülüğü

Bu şikâyetçi daha önce, bir yönetim firması tarafından yönetilen bir sitede yer alan bir taşınmazın sahibidir. Şikâyetçi, yönetim firmasından bir erişim talebinde bulunmuştur fakat veri sorumlusunun kendisine sunduğu cevapta (talep ettiği) kişisel verilerinin tamamının sunulmadığı görüşündedir.

Yönetim firması, şikâyetçinin taşınmazı bulunan sitedeki yönetici firma rolünün amaçları doğrultusunda şikâyetçinin kişisel verilerinin içeriği ve kullanımını kontrol ettiğinden veri sorumlusu olarak belirlenmiştir. İnceleme konusu veri (diğerlerinin yanı sıra) şikâyetçinin adını ve adresini içermektedir. Bu bilgilerden hareketle şikâyetçi belirlenebileceğinden ve bu bilgiler bir birey olarak şikâyetçi ile ilgili olduklarından, kişisel veridirler.

Veri Koruma Komisyonu’nun şikâyetle ilgili incelemesi sırasında veri sorumlusu, şikâyetçinin kişisel verilerini içeren ve yasal olarak muafiyet kapsamında olduğu gerekçesiyle sakladığı (sunmadığı) bir belgeye dair açıklama sunmuştur. Veri sorumlusu, şikâyetçiye verdiği cevapta ise bu belgeden bahsetmemiştir. Veri sorumlusunun verdiği cevapta bu belgeden bahsetmesi gerektiği ve şikâyetçiye bu belgeyi vermeyi neden reddettiğinin gerekçelerini belirtmesi gerektiği ifade edilmiştir.

Veri Koruma Komisyonu ayrıca mevzuatın gerektiği gibi şikâyetçinin tüm kişisel verilerinin veri sorumlusu tarafından sunulup sunulmadığını da değerlendirmiştir. Veri Koruma Komisyonu, şikâyetçinin kendisine sunulmadığına inandığı kişisel verilerin detaylı ve spesifik açıklamalarının sunulduğunu belirtmiştir. Buna karşılık veri sorumlusu, kapandığını düşündüğü konulara ilişkin olarak veri sağlamadığını ve erişim talebinin yapıldığı tarihte veri sorumlusu tarafından tutulan tüm kişisel verilerin şikâyetçiye sunulduğunu belirtmiştir. Veri Koruma Komisyonu, veri sorumlusunun kişisel verileri süresiz olarak sağlayamayacağı yönündeki iddiasının inandırıcı olduğu görüşündedir. Veri Koruma Komisyonu veri sorumlusunun şikâyetçiye (yukarıda belirtildiği gibi veri sorumlusunun, üzerinde yasal muafiyet iddia ettiği belge hariç) tüm kişisel verilerini sunduğu noktasında tatmin olmuştur. Bu nedenle, mevzuata aykırı başka bir durum söz konusu değildir.

Genel Veri Koruma Tüzüğü’nün 15. maddesi uyarınca bir ilgili kişinin, veri sorumlusundan kendisi ile ilgili işlenmekte olan kişisel verilere  erişim elde etme hakkı vardır. Ancak bu hak, hukuki tavsiye aramak, almak ya da vermek amacıyla işlenen kişisel veriler yahut hukuki işlem amacıyla ya da bu işlemler süresince bir muafiyet iddiasında bulunmak amacıyla işlenen kişisel veriler yönünden uygulanmaz (2018 Tarihli Veri Koruma Yasası madde 60(3)(a), 4). Ancak veri sorumlusu, bir erişim talebini yerine getirmeyi reddettiğinde, Genel Veri Koruma Tüzüğü’nün madde 12 hükmü gereğince herhangi bir gecikme olmaksızın bu talebi neden reddettiğine dair ilgili kişiyi bilgilendirmelidir.

Vaka İncelemesi 6: Özel Nitelikli Kişisel Verilerin İşlenmesi

Bu şikâyet, şikâyetçinin hastalık iznini ve hastalık iznine dair ödemelerini tatbik etmek amacıyla kişisel verilerinin (somut olayda şikâyetçinin sağlık durumunun mahiyetine ilişkin ayrıntılar) işvereni tarafından işlenmesiyle ilgilidir. Şikâyetçi, özellikle tıbbi kayıtlarının, çalıştığı veri sorumlusunun yerel ofisindeki personel de dâhil olmak üzere, veri sorumlusu (İşveren) tarafından paylaşılmasına dair kaygılarını, organizasyondaki üst düzey bir yetkiliye altını çizerek dile getirmiştir. Ancak üst düzey yetkilinin görüşü, gereken asgari miktarda bilginin paylaşıldığı yönündeydi.

Bir kişinin kişisel verileri; veri sorumlusu tarafından işlendiğinde, veri sorumlusunun karşılaması gereken belirli yasal koşullar bulunmaktadır. Bu şikâyetle özellikle ilgili olan yükümlülükler şunlardır: (1) Kişisel verileri adil bir şekilde işlemek; (2) Belirli amaçlar için bu verileri edinmek ve bu amaçlarla bağdaşmayan şekilde daha fazla işlememek; 3) Verilerin ilgili ve yeterli olması ve toplanma amacına ulaşmak için veri sorumlusunun gerekenden daha fazlasını işlememek ve (4) Kişisel verilerin uygun şekilde güvenliğini sağlamak. Kişisel veriler işlenirken uygulanacak kuralların yanı sıra bu vakada kişisel veriler, (Veri Koruma Mevzuatı uyarınca daha fazla koruma sağlayan) sağlık bilgileri ile ilgili olduğundan veri sorumlusu tarafından karşılanması gereken ek gereksinimler de vardı.

Bu kişisel verilerin, veri sorumlusu tarafından işlenmesinin ilk amacı, yasal hastalık ödeneği planının idaresi olduğu kabul edildi. Bu ofis ayrıca, işle ilgili stres veya uzun vadeli hastalık izni alan çalışanları yönetmek ve hastalık ödeneği seviyesinin izlenmesi amacıyla şikâyetçinin kişisel verilerinin daha fazla işlenmesinin, verilerin başlangıçtaki toplanma amacı ile uyumlu olmadığını tespit etti. Ayrıca Veri Koruma Komisyonu, işle ilgili stresin ve uzun vadeli hastalık izninin yönetimi ve hastalık ödeneğinin izlenmesi amacıyla veri işlemenin, veri sahibinin taraf olduğu bir sözleşmenin ifası, veri sorumlusunun tabi olduğu yasal bir yükümlülüğe uyulması ve iş ile bağlantılı olarak kanunla veri sorumlusuna verilen veya dayatılan bir hak veya yükümlülüğün kullanılması veya yerine getirilmesi amacıyla gerekli olduğu sonucuna varmıştır

Bununla birlikte, (diğer bir deyişle şikayetçinin tıbbi hastalığının kendine has doğası), uzun vadeli hastalık izni ve işle ilgili stresi yönetmek ve hastalık ödeneği seviyelerini izlemek amacıyla yerel insan kaynakları ofisi tarafından işlenen verilerin, ölçüsüz olduğu değerlendirildi. Ayrıca Veri Koruma Komisyonu, paylaşılan hizmet sağlayıcı tarafından yerel İnsan Kaynakları ofisine ve ayrıca bu ofis içinde başkaca kişisel veri ifşa edilmesine dayanarak güvenlik düzeyinin uygun olmadığı sonucuna varmıştır. Son olarak, veri sorumlusunun bu koşullar altında şikâyet edenin kişisel verilerini adil bir şekilde işlemediği kanaatine varılmıştır. Bu nedenle, veri sorumlusunun veri koruma yükümlülüklerini ihlal ettiği tespit edildi.

Özel nitelikli kişisel veriler (sağlık verisi gibi), 5(1)(a) maddesi uyarınca Genel Veri Koruma Tüzüğü’nün kapsamında kurallara uygun biçimde işlenmelidir. Özel nitelikli kişisel veriler, belirli, açık ve meşru bir amaç için toplanmalı ve 5(1)(b) maddesi uyarınca bu amaçlarla bağdaşmayan bir şekilde daha fazla işlenmemelidir. Özel nitelikli kişisel veriler, yetkisiz veya hukuka aykırı işlemeye karşı koruma da dâhil olmak üzere, 5(1)(f) maddesi uyarınca yalnızca kişisel verilerin güvenliğini sağlayacak şekilde işlenebilir. Sorumluların özel nitelikli kişisel verileri işlerken, Genel Veri Koruma Tüzüğü’nün 9. maddesinde belirtilen ek gereksinimlerin farkında olması gerekir.

Vaka İncelemesi 7: Uygun Bir Amaç İçin Daha Fazla İşleme

Şikâyetçi, kanuni takibatta kendisini temsil etmesi için başka bir avukat ile anlaşan bir avukattır. Şikâyetçi ile şikâyetçi tarafından görevlendirilen avukat arasındaki ilişki bozulmuş ve avukat, şikâyetçinin davranışı konusunda Baro’ya şikâyette bulunmuştur. Bu kapsamda avukat, şikâyetçi hakkında Baro’ya bazı bilgiler vermiştir. Şikâyetçi, avukatın veri koruma mevzuatına aykırı davrandığını iddia ederek konuyu Veri Koruma Komisyonu’na bildirmiştir.

Şikâyetçi avukatının, şikâyetçiye hukuki hizmetlerin sağlanması amacıyla şikâyetçinin kişisel verilerinin içeriğini ve kullanımını kontrol ettiği için avukatın, veri sorumlusu olduğu tespit edilmiştir. Söz konusu veriler (bu meyanda) şikâyetçinin yasal işlemleriyle ilgili bilgilerden oluşuyordu ve şikâyetçi, bu verilerden belirlenebildiği ve kişiye özgü olduğu için, söz konusu veriler kişisel verilerdi.

Veri Koruma Komisyonu avukatların suistimali ile ilgili şikâyetleri Baro’nun ele alma yetkisine dikkat çekti (1954-2015 Avukatlık Yasası’nın kendisine vermiş olduğu yetkiye dayanarak). Ayrıca, Baro’nun soruşturabileceği suistimal türünün, mesleğin itibarını zedeleyebilecek her türlü davranışı içerdiğini de kabul etmiştir. Veri Koruma Komisyonu, avukatlar tarafından diğer avukatlar hakkında yapılan şikâyetleri araştırmak için Baro’nun, yargı yetkisini kabul ettiğini (sadece şikâyetçi tarafından veya müvekkiller adına yapılan şikâyetleri değil) ve davranış kurallarının bunu gerektirdiğini, avukatın başka bir avukatın görevi kötüye kullandığına inanması halinde, Baro’ya bildirilmesi gerektiğini belirtti. Bu nedenle Veri Koruma Komisyonu, veri sorumlusu tarafından Baro’ya yapılan şikâyetin usulüne uygun olarak yapıldığı ve şikâyetin esası hakkında karar vermenin Baro’ya ait olduğu kanaatindedir.

Veri Koruma Komisyonu daha sonra, veri sorumlusunun Veri koruma Mevzuatını ihlal edip etmediğini değerlendirdi. Bu bağlamda Veri Koruma Komisyonu, veri sorumlularının ilgili mevzuatta belirtilen belirli yasal ilkelere uyması gerektiğini işaret etti. Bu da, şikâyetle ilgili olan, verilerin belirli amaçlar için elde edilmesi ve bu amaçlarla bağdaşmayan bir şekilde daha fazla veri işlenmemesi gerekliliğiydi. Veri Koruma Komisyonu, kişisel verilerinin başlangıçta toplanma/işlenme sebebinin, şikâyet edene yasal hizmetler sunmak olduğunu tespit etmiştir. Veri Koruma Komisyonu, veri sorumlusu Baro’ya şikâyette bulunduğunda şikâyetçinin kişisel verilerinin daha fazla işlenmesini yönettiğini belirtti. Sonraki işleme, (verinin) toplandığı (ilk) amaçtan farklı bir amaç için olduğundan Veri Koruma Komisyonu, sonraki işlemenin altında yatan amacın orijinal amaç ile uyumsuz olup olmadığını göz önünde bulundurmak zorundaydı.

Veri Koruma Komisyonu, farklı bir amacın mutlaka uyumsuz bir amaç olmadığını ve uyumsuzluğun her zaman duruma göre değerlendirilmesi gerektiğini teyit etti. Somut olayda Veri Koruma Komisyonu hukuk mesleğinin uygun şekilde düzenlenmesini sağlamada bir kamu yararı bulunduğundan, şikâyet eden verilerinin daha fazla işlenme amacının, başlangıçtaki toplanma amacı ile uyumsuz olmadığına karar vermiştir. Bu temelde veri sorumlusu, Veri Koruma Mevzuatı uyarınca hareket etmiştir.

Ayrıca Veri Koruma Komisyonu, diğer yasal gerekliliklere ek olarak bir veri sorumlusunun, kişisel verileri işlemek için yasal bir dayanağa sahip olması gerektiğini belirtti. Veri sorumlusunun somut olayda dayanmaya çalıştığı yasal dayanak, veri işlemenin veri sorumlusu tarafından izlenen meşru menfaatler için gerekli olmasıydı. Bu bağlamda Veri Koruma Komisyonu, veri sorumlusunun hukuk mesleğinin itibarını zedeleyebilecek herhangi bir davranışı, Baro’ya ifşa etmekte meşru bir menfaati olduğuna karar vermiştir. İlaveten Baro’nun Mesleki Ahlak Kuralları, veri sorumlusunun ciddi suistimalleri, Baro’ya bildirmesini zorunlu kılmıştır. Sonuç olarak Veri Koruma Komisyonu, veri sorumlusunun şikâyet edenin kişisel verilerini açıklamak için geçerli bir yasal dayanağı olduğu ve açıklamanın mevzuata aykırı olmadığı görüşündeydi.

Veri Sorumlusu, kişisel veriyi işlemek adına Genel Veri Koruma Tüzüğü’nün 6. maddesi uyarınca meşru bir dayanağa sahip olmak zorundadır. Bu tür menfaatlerin, ilgili kişinin çıkarları, temel hak veya özgürlükleri tarafından geçersiz kılındığı durumlar hariç olmak üzere Genel Veri Koruma Tüzüğü’nün 6(1)(f) maddesinde yer alan bu tür bir yasal dayanak veri işlemenin, veri sorumlusu veya üçüncü bir taraf tarafından izlenen meşru amaçlar için gerekli olması halinde ve gerekli olduğu ölçüde meşru olduğunu öngörmektedir. Bununla birlikte, Genel Veri Koruma Tüzüğü’nün 6(4) maddesi, kişisel verilerin işlenmesinin, verilerin başlangıçta toplandığı amaç dışında bir amaç için gerçekleştirilmesi durumunda daha sonraki işlemenin yalnızca söz konusu amaçlarla uyumlu olması durumunda izin verildiğini belirtmektedir.

Veri Sorumluları, başka bir amaç için işlemenin, kişisel verilerin öncelikli toplanma amacı ile uyumlu olup olmadığını değerlendirirken şunları dikkate almalıdır; (i) verilerin toplanma amaçları ile planlanan sonraki işleme arasındaki herhangi bir bağlantı, (ii) toplanan verilerin bağlamı , (iii) kişisel verilerin niteliği, (iv) amaçlanan ek işlemenin ilgili kişiler için olası sonuçları ve (v) uygun güvenlik önlemlerinin varlığı.

Vaka İncelemesi 8: Sağlık Verilerinin İşlenmesinde Uygun Güvenlik Önlemleri

Bu şikâyetin arka planında şikâyetçinin karısı tarafından, şikâyetçinin oğlunun bakımıyla ilgilenen bir pratisyen hekime Bilgi Edinme Hakkı kapsamında yapılmış olan bir başvuru bulunmaktadır. Başvurunun ardından pratisyen hekim, bilgi edinme hakkı kapsamında yapılan başvuru hakkında bilgilendirme yapmak amacıyla, daha önceden şikâyetçinin oğlunu ve şikâyetçiyi ayrı ayrı tedavi etmiş olan bir diğer doktora haber vermiştir. Bu doktor, Pratisyen Hekimin yazısına verdiği yanıtta, pratisyen hekimin hastası konumunda olmayan şikâyetçiye ait bir takım sağlık bilgilerini ifşa etmiştir.

Veri sorumlusunun tespit edilmesi amacıyla, Veri Koruma Komisyonu bahse konu olayda veriyi ifşa eden doktora şikâyetçinin hangi kapsamda danıştığının teyidi için araştırma yapmıştır. Doktorun hastalarını sadece halka açık olarak gördüğü tespit edilmiş ve buna dayalı olarak, Veri Koruma Komisyonu’na tarafından veri sorumlusunun Sağlık Hizmetleri İdaresi (Health Service Executive/HSE) olduğuna karar verilmiştir.

Şikâyete cevaben, veri sorumlusu, doktor tarafından şikâyetçiye ait verilerin, şikâyetçinin aynı zamanda pratisyen hekimin de hastası olduğu düşüncesiyle sehven ifşa edildiğini kabul etmiştir. Ancak Sağlık Hizmetleri İdaresi, verinin aktarıldığı pratisyen hekimin alınan verilerle ilgili olarak sır saklama yükümlülüğü ile bağlı olacağını bildirmiştir. Veri sorumlusu ayrıca, söz konusu olayla ilgili doktorun emekli olmasından ötürü konunun kendilerine bizzat yönlendirilemeyeceğini ifade etmiştir. Sağlık Hizmetleri İdaresi, ayrıca şikâyetçinin dâhil olduğu bu olaydan bu yana veri işlemeye ilişkin kurum içi politikalarının güncellendiğini ve iyileştirildiğini teyit etmiştir.

Veri Koruma Komisyonu, kişisel verilerin bir veri sorumlusu tarafından işlenmesi sırasında, veri sorumlusunun yerine getirmesi gereken belirli bazı yasal gereklilikler olduğunu belirtmiştir. Bu şikâyetle özellikle ilgili olan husus, kişisel verilerin adilane bir şekilde işlenmesi ve yetkisiz bir şekilde işlenmesine (ifşa edilmesine) karşı koruma sağlamak için uygun güvenlik önlemlerini sağlamaya ilişkin yükümlülüklerdir. Veri Koruma Komisyonu ayrıca, kişisel verilerin tıbbi mahiyette olması (ve dolayısıyla mevzuat kapsamında arttırılmış korumadan yararlanılması gerekmesi) nedeniyle, uygun güvenlik önlemlerinin ne olduğu konusunda karşılanması gereken standardın, genel olarak kişisel veriler için uygulanması yerinde olandan daha yüksek olduğunu belirtmiştir. Buna ek olarak, Veri Koruma Komisyonu, Veri Koruma Mevzuatı kapsamında sağlık verilerine sağlanan arttırılmış koruma nedeniyle, yalnızca belirli koşulların karşılanması durumunda bu verilerin işlenebileceğini teyit etmiştir.

Pratisyen Hekime yapılan yetkisiz ifşaat gerçekleştiği esnada uygun güvenlik önlemlerinin bulunmadığı açıktır. Veri Koruma Komisyonu, ifşanın şikâyetçinin tıbbi bakımına dâhil olmamış bir pratisyen hekime yapıldığını ve bunun da ötesinde ifşanın yapıldığı yazışmanın başlığının şikâyetçinin oğluyla ilgili olduğunu ancak metin kısmında şikâyetçi ile ilgili sağlık bilgilerini içerdiğini belirtmiştir. Kusur, böylece yazışmanın üzerinde bariz bir şekilde görülmektedir. Veri Koruma Komisyonu, veri sorumlusunun pratisyen hekimin sır saklama yükümlülüğüyle bağlı olduğu yönündeki argümanını dikkate almış; ancak, bu durum her ne kadar yetkisiz ifşaatın sonuçları ile ilgili olsa da veri sorumlusunun uygun güvenlik önlemlerini almış olduğunu göstermediğini belirtmiştir. Veri Koruma Komisyonu, konuyla ilgili doktor emekli olduğundan, veri sorumlusunun ifşaat ile ilgili kontrol önlemlerini doktora ihtar edemediğini de vurgulamıştır. Veri Koruma Komisyonu bu durumun, ifşaat sırasında kişisel verilerin korunmasına ilişkin genel bir çerçevenin olmadığı yönünde fikir verdiği kanaatine varmıştır.

Veri Koruma Komisyonu, sonrasında sağlıkla ilgili verilerin işlenmesine izin vermek için zaruri olan koşulların karşılanıp karşılanmadığını incelemiştir. Veri Koruma Komisyonu, veri sorumlusunun kişisel verilerin ifşasına ilişkin olarak herhangi bir yasal zemin ortaya koyamadığına ve bu bakımdan da Veri Koruma Mevzuatını ihlal ettiğine karar vermiştir.

Kişisel verilerin güvenliğini sağlama yükümlülüğü Genel Veri Koruma Tüzüğü’nün 5(1)(f) maddesinde açıktır ve ayrıca 32’nci maddede veri sorumlusu ve veri işleyenin riskle uyumlu bir seviyede güvenliği sağlayabilmesi için uygun teknik ve idari önlemleri uygulaması gerektiği belirtilmektedir. Uygun güvenlik önlemlerini değerlendirirken, veri sorumluları ve veri işleyenler, diğer hususların yanında veri işlemenin niteliği, kapsamı, bağlamı ve amacı ve ayrıca ilgili kişiler için ihlalin gerçekleşme olasılığı ve ciddiyetindeki değişim riskini de dikkate almalıdır. Bu bağlamda Genel Veri Koruma Tüzüğü 9. maddesi kapsamında “özel nitelikli kişisel veri” olan sağlık verilerinin, doğası gereği temel hak ve özgürlüklere ilişkin olduklarından özellikle hassas nitelikte olduğunu ve özel bir koruma gerektirdiğini kabul etmektedir.

Veri sorumluları ayrıca, kişisel verilerin kazara veya hukuka aykırı olarak yetkisiz kişilerce ifşasına yol açan bir güvenlik ihlalinin (“kişisel veri ihlali”) meydana gelmesi durumunda, Genel Veri Koruma Tüzüğü’nün 33. maddesi uyarınca gecikmeksizin Veri Koruma Komisyonu’na bildirim yapması gerekmektedir. Kişisel veri ihlalinin ilgili kişinin hak ve özgürlükleri açısından yüksek bir risk oluşturması muhtemel olduğunda, bu durum ayrıca gecikmeksizin ilgili kişiye bildirilmelidir.

Vaka İncelemesi 9: Uygun Güvenlik Önlemleri

Bu şikâyet, şikâyetçinin ortağı tarafından bankaya elden teslim edilen, şikâyetçinin banka hesabına ilişkin çeşitli işlemlerini içeren birkaç yazışmanın şikâyetçinin bankası tarafından kaybedildiği iddiasına ilişkindir.

Bankanın, şikâyetçiye bankacılık hizmetleri sağlamasıyla bağlantılı olarak şikâyetçinin kişisel verilerinin içeriğini ve kullanımını kontrol etmesi nedeniyle veri sorumlusu olduğu tespit edilmiştir. Bahse konu veriler (diğerlerinin yanı sıra) şikâyetçinin adı, adresi ve banka hesap bilgilerinden oluşmakta olup, şikâyetçinin bu bilgilerden belirlenebilmesi ve bir birey olarak şikâyetçi ile ilgili olması nedeniyle kişisel veri niteliğindedir.

Şikâyetin incelenmesi sırasında, veri sorumlusunun ilgili belgelerin banka dışında değil, banka içinde kaybedildiğini ve bu nedenle herhangi bir kişisel veri ihlali ortaya çıkmadığını ileri sürdüğü görülmüştür. Veri Koruma Komisyonu, kişisel veriler için uygun güvenlik önlemlerinin korunmasının Veri Koruma Yasası kapsamında çok önemli bir gereklilik olduğunu belirtmiştir. Kaybolan yazışmalarda yer alan kişisel verilerin (şikâyetçinin adı, adresi ve banka hesap bilgileri) niteliği değerlendirilmiş ve bu bilgilerin kaybolmasının şikâyetçi ve şikâyetçinin mali işleri için belirgin bir risk oluşturma potansiyeline sahip olduğu ifade edilmiştir. İşlenen kişisel verilerin niteliği göz önüne alındığında, veri sorumlusu tarafından uygulanan güvenlik önlemlerinin uygun bir güvenlik seviyesinin sağlanması için yeterli olmadığı görülmüştür. Veri sorumlusunun, yazışmanın içeride kaybolduğuna ilişkin iddiasına ilişkin olarak ise Veri Koruma Komisyonu’nun görüşü, kişisel verilerin güvenliğini sağlamaya yönelik alınması gereken teknik ve idari önlemler sırasında veri sorumlusunun, kişisel verilerin yerleşke dışında kaybolabileceği gibi yerleşke içerisinde kaybolabileceği veya yetkisiz erişim sağlanabileceği ve şikâyetçi gibi kişiler için riski artırabileceği hususlarını dikkate alması gerektiği yönündedir.

Yukarıdakilere dayanarak, şikâyetçinin kişisel verilerini koruma konusunda, veri sorumlusunun uygun teknik ve idari önlemleri alma hususunda kusurlu olduğu ve bu nedenle veri sorumlusunun Veri Koruma Mevzuatına uygun hareket etme konusunda başarısız olduğu değerlendirilmiştir.

Genel Veri Koruma Tüzüğü’nün 5(1)(f) maddesi uyarınca, kişisel veriler, uygun teknik veya idari önlemlerin alınmasıyla, yetkisiz veya yasa dışı ifşaya karşı koruma da dâhil olmak üzere, kişisel verilerin uygun şekilde güvenliğini sağlayacak bir biçimde işlenmesi gerekmektedir. Kişisel verilerin güvenliğini sağlama yükümlülüğü, ayrıca 32. maddede belirtildiği üzere, bir veri sorumlusu ve veri işleyenin riske uygun bir güvenlik seviyesi temin etmek için uygun teknik ve idari önlemleri uygulamasını gerektirmektedir. Uygun güvenlik önlemlerini değerlendirirken, veri sorumluları ve veri işleyenler, diğer hususların yanında veri işlemenin niteliği, kapsamı, bağlamı ve amacı ve ayrıca ilgili kişiler için ihlalin gerçekleşme olasılığı ve ciddiyetindeki değişim riskini de dikkate almalıdır.

Veri sorumluları ayrıca, kişisel verilerin kazara veya hukuka aykırı olarak yetkisiz kişilerce ifşasına yol açan bir güvenlik ihlalinin (“kişisel veri ihlali”) meydana gelmesi durumunda, Genel Veri Koruma Tüzüğü’nün 33. maddesi uyarınca gecikmeksizin Veri Koruma Komisyonu’na bildirim yapması gerekmektedir. Kişisel veri ihlalinin ilgili kişinin hak ve özgürlükleri açısından yüksek bir risk oluşturması muhtemel olduğunda, bu durum ayrıca gecikmeksizin ilgili kişiye bildirilmelidir.

Vaka İncelemesi 10: Verinin Veri Sorumlusunun Meşru Menfaatleri İçin Gerekli Olmasından Dolayı İşlenmesi

Bir alışveriş merkezinin dükkânlarından birinde çalışmakta olan şikâyetçi, alışveriş merkezine ait otoparkın park ücretinin ödenmesi ile ilgili olarak yaşanan bir olaya karışmıştır. Yaşanan olayın ardından otopark yöneticisi şikâyetçinin işverenine konu hakkında bir şikâyette bulunmuş ve yaşanan olayı kayıt altına alan güvenlik kamerasına ait görüntüleri işverene sunmuştur. Şikâyetçi, güvenlik kamerası görüntülerinin işverene sunulmasının yasal olup olmadığının incelenmesi için konuyu Veri Koruma Komisyonu’na taşımıştır.

Söz konusu güvenlik kamerası görüntülerinin şikâyetçinin işverenine sunulması amacıyla şikâyetçiye ait kişisel verilerinin içeriğini ve kullanımını kontrol ettiği gerekçeleriyle alışveriş merkezinin veri sorumlusu olduğu anlaşılmıştır. Bahse konu olan verinin, şikâyetçiye ait görüntüler içermesi, bir birey olarak şikâyetçiyi ilgilendirmesi ve şikâyetçinin bu görüntüler neticesinde tanımlanabilmesi gerekçeleriyle kişisel veri olduğu tespit edilmiştir.

Veri sorumlusu, güvenlik kamerası görüntülerinin işverene sunulmasında meşru menfaati olduğunu söyleyerek, insanların otopark ücretini ödemeden çıkış yapmalarını engelleme ve işverenin çalışanlarının araçlarını otoparka park etmelerine dair imzalamış oldukları sözleşmeden cayma örneklerini vermiştir. Veri Koruma Komisyonu, bir veri sorumlusunun kişisel verilerin işlenmesi için yasal bir dayanağa sahip olması gerektiğini belirtmiştir. Veri sorumlusu tarafından kullanılabilecek yasal dayanaklardan biri, işlenecek olan verinin meşru menfaatler için gerekli olmasıdır (Veri sorumlusunun burada dayandığı yasal dayanak buydu.) Veri Koruma Komisyonu, veri sorumlusunun ileri sürdüğü nedenlerle, şikâyetçinin verisinin işlenmesinde prensipte meşru menfaatlerinin olduğunu kabul etmiştir. Fakat veri sorumlusunun ileri sürdüğü meşru menfaatleri için güvenlik kamerası kayıtlarını şikâyetçinin işverenine sunması “gerekli” değildir. Bunun sebebi, veri sorumlusu tarafından işe alınan otopark görevlisinin, olayda, şikâyetçi hakkında şikâyetçinin işverenini konuya dâhil etmeden veri sorumlusu tarafından ileri sürülen meşru menfaatler doğrultusunda adım atma yetkisinin bulunmasından kaynaklanmaktadır. Örneğin, otopark görevlisi şikâyetçinin işverenini olaya dâhil etmeden şikâyetçinin otoparkı kullanmasını yasaklayabilirdi. Bundan dolayı Veri Koruma Komisyonu, veri sorumlusunun, şikâyetçinin işverenini olay hakkında haberdar edip şikâyetçiye ait güvenlik kamerası görüntülerini sunmasının gerekli olmadığına karar verdi. Dolayısıyla veri sorumlusunun yaptığı işlemin yasal dayanağı bulunmamakta olup veri koruma mevzuatına aykırıdır.

Genel Veri Koruma Tüzüğü’nün 6. maddesi uyarınca kişisel veriler ancak yasal dayanağı olması halinde işlenebilir. Bununla ilgili 6(1)(f) maddesinde, kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun ya da üçüncü kişinin meşru menfaati için zorunlu olması halinde veri işlemenin yasal olduğu düzenlenmiştir. Fakat veri sorumluları sadece meşru bir menfaat olduğunu göstermelerinin verinin işlenmesi için yeterli olmadığını bilmelidirler. Veri sorumlularının 5(1)(c) ile 6(1)(f) maddelerinde bulunan hükümlere dayanabilmeleri için, işlenen kişisel verinin sadece meşru menfaatler için gerekli olan kadar kısmının işlendiğini kanıtlamaları da gerektiğinin bilincinde olmalıdırlar.

Vaka İncelemesi 11: Verinin İşlenmesinin, Sözleşmenin İfası İçin Gerekli Olması

Bu şikâyetçi çalıştığı yerde bulunan otoparkta yaşanan bir olaya karışmıştır. Yaşanan olay neticesinde otopark yöneticisi, şikâyetçinin işverenine bir şikâyette bulunmuş ve daha sonrasında işveren olaya ait güvenlik kamerası kayıtlarını edinmiştir. Otoparkta yaşanan olay sebebiyle şikâyetçi hakkında disiplin soruşturması başlatılmış ve disiplin soruşturması kapsamında şikâyetçinin işvereni ile diğer meslektaşları şikâyetçiye ait güvenlik kamerası görüntülerini izlemişlerdir.

Şikâyetçinin işvereni, şikâyetçiye ait kişisel verilerin içeriğini ve kullanımını, şikâyetçinin yöneticiliğini yapmak ve disiplin soruşturması yürütmek amaçlarıyla kontrol etmesinden dolayı veri sorumlusudur. Bahse konu olan verinin, şikâyetçiye ait görüntüler içermesi, bir birey olarak şikâyetçiyi ilgilendirmesi ve şikâyetçinin bu görüntüler neticesinde belirlenebilmesi gerekçeleriyle kişisel veri olduğu tespit edildi.

Şikâyete cevap olarak veri sorumlusu, verinin işlenmesinin mevzuat uyarınca yasal dayanağı olduğunu, bunun sebebinin güvenlik kamerası görüntülerinin iş sözleşmesinin bir parçasını oluşturan çalışan davranış kurallarının uygulanmasını sağlamak amacıyla kullanılması olduğunu ileri sürmüştür. Veri sorumlusu buna ek olarak şikâyetçinin karışmış olduğu olayın ciddi olduğunu ve şikâyetçiyle imzalanmış olan iş sözleşmesinde atıfta bulunulan şirketin disiplin politikası sebebiyle olayın araştırılmasının gerekli olduğunu belirtti. Ayrıca veri sorumlusu, incelenen güvenlik kamerası kayıtlarının sadece yaşanan olayla sınırlı olduğunu ve bu görüntüleri sadece disiplin soruşturması sürecinde görev alan personel tarafından incelendiğini de ekledi.

Veri Koruma Komisyonu, verinin korunmasına ilişkin yasal düzenlemede, kişisel verisi işlenen kişinin taraf olduğu bir sözleşmenin ifası için gerekli olması durumunda, verinin işlenmesine izin verildiğini belirtti. Veri Koruma Komisyonu, veri sorumlusunun, güvenlik kamerası görüntülerinin işlenmesinin sözleşmenin ifası için gerekli olduğu hakkındaki iddiasını inceledi. Fakat Veri Koruma Komisyon, olayda sözleşmenin ifası için güvenlik kamerasının görüntülerinin işlenmesinin “gerekli” olmadığı görüşündeydi. Veri Koruma Komisyonu’na göre veri sorumlusunun iddiasının geçerli olabilmesi için veri sorumlusu güvenlik kamerası kayıtlarını işlemeden sözleşmenin ifasının mümkün olamayacağını kanıtlamalıydı. Veri sorumlusu Veri Koruma Komisyonu’nu bu konuda ikna edemediğinden dolayı veri sorumlusunun kişisel verilerin korunması hakkındaki mevzuatı ihlal ettiğine karar verdi.

Veri Koruma Komisyonu, yasal dayanak gerekliliğine ek olarak veri sorumlusunun veri işlerken uyması gereken bazı yasal ilkelerin de olduğunu belirtti. Veri Koruma Komisyonu işlemenin yeterli, bağlantılı ve verinin işlenmesini gerekli kılan amaçlarla sınırlı olması gerektiğinin altını çizdi. Veri Koruma Komisyonu, veri sorumlusunun incelenen güvenlik kamerası kayıtlarının sadece yaşanan olayla sınırlı olduğunu ve bu görüntüleri sadece disiplin soruşturması sürecinde görev alan personel tarafından incelendiği şeklindeki açıklamasını da inceledi. Fakat Veri Koruma Komisyonu, veri sorumlusunun güvenlik kamerası kayıtlarının incelenmesinin neden gerekli olduğunu açıklayamadığı görüşündeydi. Bu sebeple de veri sorumlusu bir başka mevzuat ihlali daha gerçekleştirdiği belirtildi.

Genel Veri Koruma Tüzüğü’nün 6. maddesi uyarınca kişisel veriler ancak yasal dayanağı olması halinde işlenebilir. Bununla ilgili 6(1)(f) maddesinde, ilgili kişinin taraf olduğu bir sözleşmenin ifası için gerekli olması halinde ve gerekli olduğu ölçüde veri işlemek yasaldır, düzenlemesi yer almaktadır. Fakat veri sorumluları, kişisel verilerin işlenmesi için sadece sözleşmeye dayalı bir temel olduğunu göstermelerinin yeterli olmadığının farkında olmalıdırlar. 5(1)(f) maddesi ile 6(1)(b) maddesi uyarınca, veri sorumlularının işlenen verinin sadece sözleşmenin ifası için “gerekli” olan kısımla sınırlı olduğunu göstermeleri gerekmektedir.

Vaka İncelemesi 12: Gizli Görüş İfadeleri ve İlgili Kişinin Erişim Talepleri

Şikâyetçi, işverenine bir ilgili kişi erişim talebinde bulunmuştur. Ancak şikâyetçi, işvereninin bazı yazışmaları verdiği yanıttan çıkardığını, “gizlilik içinde verilen bir görüş” teşkil ettiği gerekçesiyle haksız yere verileri vermekten imtina ettiğini ve talebe mevzuatta belirtilen süre içinde yanıt vermediğini iddia etmiştir.

Şikâyetçinin işvereni, şikâyetçinin istihdamını yönetmek amacıyla kişisel verilerinin içeriğini ve kullanımını kontrol ettiği için veri sorumlusu sıfatını haizdir. Söz konusu veriler, şikâyetçinin özlük dosyası ve şikâyetçinin istihdamının yönetimine ilişkin verilerden oluşuyordu. Bu veriler, şikâyetçinin kimliğini belirlenebilir kıldığından ve şikâyetçiye özgü olduğundan kişisel verilerdi.

Şikâyetin incelenmesi sırasında veri sorumlusu, şikâyetçinin kişisel verilerini içeren ek belgeler belirlemiş ve bunları şikâyetçiye sunmuştur. Veri sorumlusunun gizli görüş teşkil ettiğini ileri sürdüğü belgeye ilişkin olarak, bu şikâyetin soruşturulması sırasında, söz konusu görüş bildiren kişi, belgenin şikâyetçiye açıklanmasına rıza göstermiş ve bu nedenle, belge, veri sorumlusu tarafından şikâyetçiye verilmiştir.

Veri Koruma Mevzuatı ilgili kişiye, kişisel verilerine konu olan bir veriye erişim hakkı sağlar ve ayrıca, bu erişimin belirli bir süre içinde verilmesini zorunlu kılar. Şikâyeti araştıran Veri Koruma Komisyonu, veri sorumlusunun uygun araştırmaları yaptığı ve şikâyetçiye yasal olarak alma hakkına sahip olduğu tüm kişisel verileri sağladığı kanaatine varmıştır. Bu şikâyetin incelenmesi sırasında veri sorumlusu tarafından şikâyetçiye sunulan belgelerin mevzuatta öngörülen süre içinde şikâyetçiye iletilmiş olması gerekir.

Genel Veri Koruma Tüzüğü’nün 15. maddesi uyarınca, bir ilgili kişinin, kendisi ile ilgili işlenmekte olan kişisel verilere bir veri sorumlusundan erişim elde etme hakkı vardır. Veri sorumlusu, ilgili kişi erişim talebine herhangi bir gecikme olmaksızın ve her halükarda talebin alınmasından itibaren bir ay içinde yanıt vermelidir. Bununla birlikte, 2018 tarihli Veri Koruma Yasası’nın 60. maddesine göre, kişisel verilere erişim hakkı, ilgili kişi hakkında başka bir kişi tarafından gizli olarak verilen veya bilgiyi almakta meşru bir menfaati olan bir kişiye gizli kalacağı inancıyla verilen görüş ifadesinden oluşan verileri kapsamaz.

Vaka İncelemesi 13: Sağlık Verilerinin İşlenmesi

Şikâyetçi, gelir koruma sigortası programının bir üyesi olup hastalık nedeniyle işten ayrılma izni almıştır. Gelir Koruma Programı, şikâyetçinin işvereni tarafından düzenlenmiştir. Plan kapsamında talepte bulunabilmek için, şikâyetçinin bir sigorta şirketi tarafından düzenlenen doktor randevularına katılması gerekmektedir. Şikâyetçinin hastalığına ilişkin bilgiler, şikâyetçi tarafından sadece sigorta şirketi ile paylaşılmıştır. Ancak üçüncü kişi (şikâyetçi tarafından varlığı bilinmeyen) şirket, şikâyetçinin katılması gereken doktor randevularına ilişkin bilgileri şikâyetçinin işverenine iletmiştir. Bu bilgiler, söz konusu doktorların uzmanlık alanlarını da içermektedir.

Sigorta şirketinin, şikâyetçinin sigorta planı kapsamındaki talebini yönetmek ve idare etmek amaçlarıyla şikâyetçinin kişisel verilerinin içeriğini ve kullanımını kontrol etmesi nedeniyle veri sorumlusu olduğu tespit edilmiştir. Söz konusu veriler şikâyetçinin hastalığını, düzenlenen doktor randevularını ve önerilen tedaviyi içermektedir; Bu bilgilerden şikâyetçinin tespit edilmesinin mümkün olması ve bu bilgiler şikâyetçi ile bireysel olarak ilişkili olduğu için kişisel veri olarak kabul edilmektedir.

Soruşturma sırasında veri sorumlusu, şikâyetçinin veri sorumlusuna hastalığına ilişkin bilgi edinmesi için rıza verdiğini onaylayan bir ifadenin yer aldığı formu imzaladığını iddia etmiştir. Veri Koruma Komisyonu tarafından şikâyetçinin doktor randevularına ilişkin bilgilerinin üçüncü kişi şirket ile neden paylaşıldığının açıklanması istendiğinde, veri sorumlusu aracı kişiye güncel bilgi verilmesini ve sürecin hızla ilerlemesini sağlamak için bunu yaptığını bildirmiştir.

Veri sorumlusu, şikâyetçiye belli birtakım bilgilerin sağlanmasına yönelik olarak hukuki sorumluluğunun bulunduğunu belirtmiştir. Veri sorumlusu özellikle, şikâyetçinin kişisel verilerinin alıcıları veya alıcı kategorileri hakkında şikâyetçiyi bilgilendirmekle yükümlüdür. Veri Koruma Komisyonu veri sorumlusunun, şikâyetçiyi kişisel verilerinin incelenebileceğine dair bilgilendirmesine rağmen, kişisel verilerinin alıcılarına ilişkin yeterli bilgiyi sağlamakta başarısız olduğunu vurgulamıştır.

Veri Koruma Mevzuatına göre, veri sorumlusu tarafından saklanan kişisel verilerin toplanma amaçlarıyla bağlantılı, ölçülü ve gerekli olanla sınırlı olması gerekmektedir. Veri Koruma Komisyonu, şikâyetçinin doktor randevularının niteliği hakkındaki bilginin ifşasına ilişkin veri sorumlusu tarafından sunulan gerekçeyi (yani aracı kişiye güncel bilgi verilmesini ve sürecin sorunsuz şekilde ilerlemesini sağlamak) incelemiştir. Veri Koruma Komisyonu, veri sorumlusunun, söz konusu doktorların uzmanlıkları da dâhil olmak üzere, tıbbi randevuların özel niteliğine ilişkin bilgileri üçüncü kişi şirkete ifşa etmesinin aşırı olduğu görüşündedir.

Veri Koruma Komisyonu, kişisel verinin korunmasına ilişkin mevzuatta sağlığa ilişkin veriler için ek bir koruma sağlandığını belirtmiştir. Veri Koruma Komisyonu, veri sorumlusu tarafından ifşa edilen bilginin söz konusu doktorların uzmanlıklarına ilişkin ayrıntıları içermesi nedeniyle, şikâyetçinin hastalığının olası özelliklerini gösterdiği, bu nedenle ek korumadan yararlandığı görüşündedir. Veri Koruma Komisyonu, ek koruma nedeniyle belirli şartlardan birinin varlığı olmadan söz konusu verinin işlenmesinin yasak olduğunu teyit etmiştir. Örneğin (ve somut olayla alakalı olarak) şikâyetçi, veri sorumlusuna verinin işlenmesine ilişkin açık rıza vermişse, sağlıkla ilgili kişisel veriler yasal olarak işlenebilir. Daha sonra Veri Koruma Komisyonu, (yukarıda açıklandığı üzere bilginin incelenmesi için veri sorumlusuna rıza verildiğine ilişkin paragrafı içeren) talep formunu imzalayan şikâyetçinin doktor randevularıyla ilgili bilgilerin işlenmesine (ifşasına) ilişkin açık rıza vermiş sayılıp sayılmayacağını değerlendirmiştir. Veri Koruma Komisyonu, bu türde bir bilginin araştırılması için veri sorumlusuna, şikâyetçinin açık rızasının verildiğinin söylenebileceğini belirtmiştir. Ancak şikâyetçi, bu türdeki bilginin veri sorumlusu tarafından üçüncü kişilerle paylaşılmasına açık rıza vermemiştir. Bu nedenle Veri Koruma Komisyonu, bu kapsamda veri sorumlusu tarafından mevzuatın ihlal edildiğine karar vermiştir.

Genel Veri Koruma Tüzüğü’nün 13. maddesi kapsamında, kişisel verilerin ilgili kişilerden toplanması durumunda, kişisel verilerin elde edildiği anda veri sorumlusu ilgili kişiye, veri sorumlusunun ve uygun olduğu hallerde, Veri Koruma Görevlisinin kimlik ve irtibat bilgileri; verinin işlenme amacı ve yasal dayanağı ve varsa verilerin alıcıları ve ayrıca ilgili kişinin haklarına ilişkin bilgiler gibi bazı bilgileri sağlamakla (aydınlatma yapmakla) yükümlüdür. Bu bilgilerin amacı, kişisel verilerin adil ve şeffaf bir şekilde işlenmesini sağlamaktır. Kişisel verilerin, ilgili kişinin (bizzat) kendisi tarafından verilmesi dışında bir şekilde elde edildiği durumlarda, Genel Veri Koruma Tüzüğü’nün 14. maddesi uyarınca ilgili kişiye ek bilgi verilmesi gerekmektedir. Bu bilgiler öz, şeffaf, anlaşılır ve kolay erişilebilir bir biçimde verilmelidir.

Bununla birlikte, Genel Veri Koruma Tüzüğü’nün 5(1)(c) maddesi kapsamında verilerin minimizasyonu ilkesi, kişisel verilerin işlendikleri amaçlarla ilgili olarak yeterli, yerinde ve gerekli olanlarla sınırlı olmasını gerektirmektedir. Buna göre kişisel verilerin saklandığı süre minimumda sınırlı olmalı ve kişisel verilerin yalnızca işleme amacının başka yollarla makul şekilde yerine getirilememesi durumunda işlenmesi gerekmektedir.

Sonuç olarak veri sorumluları, sağlığa ilişkin verilerin Genel Veri Koruma Tüzüğü’nün 9. maddesi kapsamında “özel nitelikli kişisel veri” kabul edildiğine, özellikle hassas doğası ve bu tür verilerin işlenmesiyle ilgili kişilerin temel hak ve özgürlüklerine yönelik olarak doğabilecek özel risk nedeniyle özel kurallara tabi olduğuna dikkat etmelidir. Sağlık verilerinin işlenmesine yalnızca, Genel Veri Koruma Tüzüğü’nün 9(2) maddesinde ve 2018 tarihli Veri Koruma Yasası’nın 45 ila 54. Bölümlerinde yer alan, ilgili kişinin bir veya daha fazla belirli amaç için işlenmesine açık rıza verdiği durumlar gibi belli durumlarda izin verilmiştir.

Vaka İncelemesi 14: Erişim Talepleri ve Yasal Olarak Muafiyet Kapsamında Olan Dokümanlar

Bu şikâyet, bir ilgili kişinin erişim talebine eksik yanıt verildiği iddiasına ilişkindir. Şikâyetin temelini, şikâyetçinin bir emeklilik planının mütevelli heyetine erişim talebinde bulunması oluşturmaktadır. Erişim talebine yönelik cevabın bir kısmında Mütevelli Heyeti, şikâyetçi ile ilgili taslak bir mektuba atıfta bulunmuştur, ancak söz konusu taslak mektup şikâyetçiye verilmemiştir.

Mütevelli Heyetindeki kişilerin, şikâyetçinin emekli maaşına yönelik amaçlarla kişisel verilerinin içeriğini ve kullanımını denetledikleri için veri sorumlusu oldukları tespit edilmiştir. Söz konusu veriler -diğer birçok şeyin yanında- şikâyetçinin çalışma durumu ve emekliliği hakkındaki bilgilerden oluşmakta olup şikâyetçi ile bireysel olarak ilişkili olması ve şikâyetçinin kimliğinin belirlenmesi için elverişli olması sebepleriyle kişisel veri niteliğindedir.

Veri sorumlusu, taslak mektubun hukuken muafiyet kapsamında olduğunu ve bu nedenle mektubu şikâyetçiye vermesi gerekmediğini savunmuştur. Veri Koruma Komisyonu, taslak mektup hakkındaki yasal bir muafiyet iddiasıyla ilgili olarak veri sorumlusundan daha fazla bilgi talep etmiştir. Yanıt olarak veri sorumlusu, taslak mektup üzerinde hangi muafiyetin ileri sürüldüğünü açıklamamış ancak verileri şikâyetçiye vermeyi kabul etmiştir.

Bu nedenle veri sorumlusunun hukuken muafiyet kapsamında olan veriye yönelik olarak muafiyete dayanma hakkının bulunmadığına karar verilmiştir.

Genel Veri Koruma Tüzüğü’nün 15. maddesi kapsamında ilgili kişi, veri sorumlusundan kendisi ile ilgili işlenmekte olan kişisel verilere erişim elde etme hakkına sahiptir. Veri sorumlusu, ilgili kişinin erişim talebine herhangi bir gecikme olmaksızın ve her halükarda talebin alınmasından itibaren en geç bir ay içinde yanıt vermelidir. Bununla birlikte, hukuki tavsiye aramak, almak veya vermek amacıyla işlenen kişisel veriler veya hukuki işlemler yapmak amacıyla veya bu işlemler sırasında muafiyet iddiasında bulunulabilecek kişisel veriler hakkında, kişinin kişisel verilerine erişim hakkı uygulama alanı bulamamaktadır. Bir veri sorumlusunun, ilgili kişi tarafından talep edilen bilgi hakkında Genel Veri Koruma Tüzüğü’nün 15. maddesi kapsamında muafiyet ileri sürmek istediği durumda, ret ile ilgili şikâyeti inceleyen Veri Koruma Komisyonu veri sorumlusunun, iddianın geçerliliğinin uygun şekilde değerlendirilebilmesi için, veri sorumlusunun muafiyet iddia ettiği temele ilişkin bir açıklamayı da içeren kayda değer bilgiler vermesini isteyecektir.

Vaka İncelemesi 15: İşyeri Soruşturması Kapsamında Veri İşleme

Şikâyetçi, kendisi tarafından bir iş arkadaşı hakkında ileri sürülen iddialardan kaynaklanan bir işyeri soruşturmasında yer almıştır. Şikâyetçinin işvereni, soruşturmayı yürütmek üzere bağımsız bir danışmanlık firması atamış ve Danışmanlık Şirketinin bulguları bağımsız bir heyet tarafından incelemeye tabi tutulmuştur.

İşyeri soruşturmasının sonuçlanmasının ardından şikâyetçi, işverenine veri erişim talebinde bulunmuş ve bu talebe cevaben kendisine bir takım belgeler temin edilmiştir. Ancak şikâyetçi talebe tam olarak cevap verilmediği görüşündedir. Örneğin, şikâyetçi, kendisine verilen (soruşturma sırasında alınan) tanık ifadelerinin gerçeğe aykırı olduğunu ve şikâyetçiye (şikâyetçinin personel dosyalarına erişim kayıtları gibi) bazı belgelerin verilmediğini iddia etmiştir. Şikâyetçi ayrıca, işverenlerinin şikâyetçinin çalışma performansının ayrıntılarını, hastalık izni düzenlemelerini ve şikâyetçinin maaş bordrolarının kopyalarını şikâyetçinin iş arkadaşlarına açıkladığını iddia etmiştir. Son olarak, şikâyetçi, işvereninin, şikâyetçi,  (şikâyetçinin gerçeğe aykırı olduğunu iddia ettiği) tanık ifadelerinin düzeltilmesine yönelik taleplerine uymadığını iddia etmiştir

Şikâyetçinin işvereninin, işyeri soruşturması kapsamında şikâyetçinin verilerini kontrol etmesi nedeniyle veri sorumlusu olduğu tespit edilmiştir. Söz konusu veriler, şikâyetçinin bordro bilgileri, şikâyetçi, hastalık iznine ilişkin bilgiler ve şikâyetçiye ilişkin tanık ifadelerinden oluşmaktadır. Bu veriler, şikâyetçinin kimliğini belirlenebilir kıldığından ve şikâyetçiye özgü olduğundan kişisel verilerdir.

Veri sorumlusu, şikâyetçinin erişim talebine tam olarak cevap verilmediği iddiasına cevaben, tanık ifadeleriyle ilgili olarak, şikâyetçi dosyasında tutulan orijinal tanık ifadelerinin nüshalarının şikâyetçiye verildiğini belirtmiştir. Erişim log kayıtlarıyla ilgili olarak, (veri sorumlusuna ait IT sistemlerinde, diğer çalışanların dijital hareketleri izlendiğinden) veri sorumlusu, bunların kişisel veri oluşturmadığı görüşündedir. Şikâyetçiye ulaşmadığı iddia edilen diğer muhtelif belgelerle ilgili olarak, veri sorumlusu, şikâyetçinin bu belgelerin ayrıntılarını belirtmesi halinde şikâyetçinin iddiasının ayrıca değerlendirileceğini belirtmiştir.

Veri sorumlusunun, şikâyetçinin iş performansının ayrıntılarını şikâyetçinin iş arkadaşlarına ifşa ettiği şikâyetiyle ilgili olarak, veri sorumlusu, şikâyetçinin performansının şikâyetçinin yöneticileriyle tartışılabileceğini ve bu nedenle meşru ticari nedenlerle ifşa edildiğini savunmuştur. Şikâyetçinin hastalık izniyle ilgili ayrıntıların açıklanmasıyla ilgili şikâyetle ilgili olarak, veri sorumlusu böyle bir açıklamadan haberdar olmadığını kaydetmiştir. Son olarak, veri sorumlusu, şikâyetçinin maaş bordrolarının ifşa edildiği iddiasına ilişkin olarak, bunların, şikâyetçi tarafından ele alınan ayrı bir dava bağlamında incelenmesi için veri sorumlusunun bir çalışanına verildiğini ileri sürmüştür.

Şikâyetçi ayrıca, gerçeğe uygun olmadığını iddia ettiği tanık ifadelerinin düzeltilmesini talep etmiştir. Ancak veri sorumlusu, tanık ifadelerinde kaydedilenlerin ilgili kişilerin görüşlerini yansıttığını bildirmiş ve bu nedenle tanık ifadelerini değiştirmeyi reddetmiştir.

Veri Koruma Komisyonu şikâyetle ilgili olarak incelemesi gereken beş konu olduğu görüşüne varmıştır. Veri Koruma Komisyonu’nun bu konuların her birine ilişkin görüşü (beş konunun her birini gösteren başlıklar altında) aşağıda özetlenmektedir:

Erişim Talebi

Veri Koruma Komisyonu, şikâyetçinin geçerli bir erişim talebinde bulunduğunu kaydetmiştir. Bununla birlikte, konuyu tüm yönleriyle değerlendiren Veri Koruma Komisyonu, veri sorumlusunun hukuka aykırı olarak bilgi sakladığına dair herhangi bir kanıt bulunmadığı kanaatine varmıştır. Ancak Veri Koruma Komisyonu, şikâyetçinin veri erişim talebinin mevzuatta öngörülen süre içinde ele alınmadığını kaydetmiştir. Bu bağlamda, veri sorumlusu bir veri koruma ihlali gerçekleştirmiştir.

Genel Veri Koruma Tüzüğü’nün 12(3) maddesi uyarınca, bir ilgili kişinin, bir veri sorumlusundan kendisi ile ilgili işlenmekte olan kişisel verilere erişim elde etme hakkı vardır. Veri sorumlusu, ilgili erişim talebine herhangi bir gecikme olmaksızın ve her halükarda talebin alınmasından itibaren bir ay içinde yanıt vermelidir.

Şikâyetçinin kişisel verilerinin yetkisiz ifşa edildiği iddiası

Veri sorumlularının, bu verilerin üçüncü bir kişiye ifşa edilmesi de dâhil olmak üzere kişisel verileri işlemek için Veri Koruma Mevzuatı uyarınca yasal bir dayanağı olmalıdır. Şikâyetçinin iş performansıyla ilgili ayrıntıların açıklanmasıyla ilgili olarak, Veri Koruma Komisyonu, meşru ticari nedenlerle olduğundan bu tür işlemelerin yasal olduğu kanaatine varmıştır. Hastalık izni ayrıntılarının açıklanması konusuyla ilgili olarak, Veri Koruma Komisyonu, iddia edilen olayla ilgili olarak mevzuatta bir ihlal olup olmadığını belirlemek için yeterli bilgiye sahip olunmadığı sonucuna varmıştır. Şikâyetçinin maaş bordrolarının açıklanmasıyla ilgili olarak, Veri Koruma Komisyonu açıklamanın yasal olduğu görüşündedir. Bunun nedeni, maaş bordrolarının, veri sorumlusunun, şikâyetçi tarafından aleyhine ileri sürülen ayrı bir yasal iddiaya karşı savunma yapmak maksadıyla açıklanmış olmasıdır.

Genel Veri Koruma Tüzüğü’nün 6. maddesi uyarınca, bir veri sorumlusunun herhangi bir kişisel veriyi işlemek (ifşa etmek dâhil) için yasal bir dayanağının olması gerekir. İşleme için mevcut yasal dayanaklar şunlardır: (a) ilgili kişinin rıza vermiş olması, (b) işlemenin ilgili kişinin taraf olduğu bir sözleşmenin ifası için gerekli olması, (c) işlemenin veri sorumlusunun tabi olduğu yasal bir yükümlülüğe uygunluk sağlaması için gerekli olması, (d) İşlemenin bir gerçek kişinin hayati menfaatlerini korumak için gerekli olması, (e) işlemenin kamu yararına gerçekleştirilen bir görevin yerine getirilmesi için gerekli olması veya (f) veri sorumlusunun veya bir üçüncü taraf tarafından izlenen meşru menfaatler için işlemenin gerekli olması.

Adil işleme

Veri sorumlularının kişisel verileri adil bir şekilde işleme yükümlülüğü bulunmaktadır. Veri Koruma Komisyonu soruşturması sırasında, veri sorumlusundan, şikâyetçinin kişisel verilerinin iddia edilen ifşalarının her biri ile ilgili olarak, şikâyetçinin verilerini adil bir şekilde işleme yükümlülüklerine nasıl uyduğunu teyit etmesini istemiştir. Veri sorumlusu, gerekli bilgileri sağlayamadığından Veri Koruma Komisyonu, veri sorumlusunun şikâyetçinin verilerini adil işleme yükümlülüklerine uygun olarak işlemediğini değerlendirmiştir.

Genel Veri Koruma Tüzüğü uyarınca, kişisel veriler, ilgili kişi ile ilgili olarak yasal, adil ve şeffaf bir şekilde işlenmelidir. Bu ilke, ilgili kişiye, işleme faaliyetinin varlığı ve amaçları ile ilgili olarak Genel Veri Koruma Tüzüğü 13 ve 14. maddeleri kapsamında belirli bilgilerin sağlanmasını gerektirir. İlgili kişiler, kişisel verilerinin işlenmesiyle ilgili riskler, kurallar, güvenceler ve kısıtlamalar konusunda bilgilendirilmelidir. Kişisel verilerin yasal olarak başka bir alıcıya açıklanabileceği durumlarda, veri sorumluları, kişisel veriler ilk kez açıklandığında, kişisel verilerin alıcısı veya alıcı kategorileri hakkında ilgili kişiyi bilgilendirmelidir.

Düzeltme hakkı

Veri Koruma Mevzuatına göre, (ilgili kişinin) yanlış kişisel verilerin düzeltilmesi(ni isteme) hakkı vardır. Ancak burada veri sorumlusu, tanık ifadelerinde kaydedilenlerin olaya karışan kişilerin görüşlerini yansıttığını doğrulamıştır. Bir görüşün doğru bir şekilde kaydedildiği ve görüşün, görüşü veren kişinin makul olarak doğru olduğuna inandığı konulara objektif olarak dayandığı durumlarda, düzeltme hakkının geçerli olmadığı görüşü benimsenmiştir.

Genel Veri Koruma Tüzüğü’’nün 5. maddesi uyarınca, işlenen kişisel verilerin doğru olması ve gerektiğinde güncel tutulması ve veri sorumlularının, işlenme amaçlarına uygun olmadan işlenen ve doğru olmayan kişisel verilerin silinmesi veya gecikmeden düzeltilmesi için her türlü makul adımın atılmasını sağlamaları gerekmektedir. Genel Veri Koruma Tüzüğü’nün 16. maddesi uyarınca, bir ilgili kişinin kendisi ile ilgili yanlış kişisel verilerin herhangi bir gecikme olmaksızın düzeltilmesini bir veri sorumlusundan talep etme hakkı vardır. Bunun yanında, 2018 tarihli Veri Koruma Yasası’nın 60. bölümüne göre, kişisel verilere erişim hakkı, ilgili kişi hakkında başka bir kişi tarafından gizli olarak verilen veya bilgiyi almakta meşru bir menfaati olan bir kişiye gizli kalacağı inancıyla verilen görüş açıklamalarından oluşan verileri kapsamaz.

Şikâyetçinin kişisel verilerinin saklanması

Veri Koruma Komisyonu, veri sorumlusundan, işyeri soruşturmasıyla ilgili olarak şikâyetçinin kişisel verilerinin saklanmasının (yani işlenmesinin) yasal dayanağını özetlemesini istemiştir. Veri sorumlusu, çeşitli yasal süreçler kapsamında şikâyetçinin talep ve itirazlarının ele alınması için bu verilerin saklandığını bildirmiştir. Bu temelde, Veri Koruma Komisyonu, şikâyetçinin kişisel verilerinin meşru ticari nedenlerle tutulmasının yasal olduğu görüşüne varmıştır.

Genel Veri Koruma Tüzüğü kapsamında, bir veri sorumlusunun, yalnızca bir gerçek kişinin kişisel verilerini başlangıçta elde etmesi için yasal bir temele sahip olması değil, aynı zamanda yukarıda belirtildiği gibi 6. madde uyarınca bu verilerin saklanması için de devam eden bir yasal dayanağının olması gerekir. Genel Veri Koruma Tüzüğü 5(1)(e) maddesi uyarınca, ilgili kişilerin kimliğini belirlenebilir kılan kişisel veriler, işlendikleri amaçlar için gerekli olandan daha uzun süre saklanmamalıdır.

Teşekkür Notu:

Vaka analizlerinin çevirisi sırasıyla Kübra İslamoğlu Bayer, Aden Cennet Kılıç, Merve Aydın,  Ahmet Haşim Alagüney, Necati Kerim Belviranlı ve Gülay Aydın tarafından gerçekleştirilmiştir. Yazının redaksiyon aşaması  Pınar Saruhan tarafından gerçekleştirilmiştir.