Karantinada Kişisel Verilerinizi Korumayı Unutmayın!

Blogumuz vasıtasıyla sizlere pek çok defa kişisel verilerin korunması alanındaki güncel gelişmeleri ve bunlara dair hukuki tartışmaları aktarıyor olduk. Bugün dünya genelinde olduğu gibi ülkemiz de küresel bir salgın ile karşı karşıya. Hal böyle olunca şu an bir kişisel verilerin korunması hukuku tartışmasının ne önemi var diye düşünebilirsiniz. Ancak resmin bütününe baktığımızda her geçen gün daha da artan bu salgına karşı şirketlerin önlemlerini artırdığını ve bu vesileyle de birtakım kişisel veri işleme senaryolarının oluştuğunu görüyoruz.

Bu yazımızla sizlere bu süreçte şirketlerin Kişisel Verilerin Korunması Kanunu (“KVKK”) nezdinde karşılaşabileceği başlıca sorunlara değinmeyi amaç edindik.

COVID-19 kapsamında ne gibi veriler işliyoruz? Bunları işlememizde bir hukuki dayanağımız var mı?

Kuşkusuz COVID-19 bir sağlık sorunu ve bu kapsamda ilk akla gelen husus sağlık verileri, yani özel nitelikli verilerin işlenmesine dair özel hususlar. Elbette KVKK’nın 6. maddesinden söz ediyoruz ve pek çoğumuzun bildiği üzere bu madde en çok da sağlık verilerinin rızadan istisnai olarak işlenmesi noktasında şirketlerin elini kolunu bağlar vaziyette.


Bu bakımından temel kuralın her ne kadar küresel bir salgın ile karşı karşıya olunsa da bu verilerin ilgili kişinin rızası dahilinde işlenmesi olduğu unutulmamalıdır. Bu yönüyle şirketler işlenen veri uyarınca gerekli aydınlatmayı yapmalı ve istisnai süreçler bulunmadığı sürece ilgili kişinin rızasını almalıdır.

Bu noktada hatırlatılması gereken en önemli konu, sürecin “sır saklama yükümlülüğü altında olan” işyeri hekimlerince yürütülmesidir. Böylelikle gerekli veri koruma önlemlerinin de alınmasıyla sağlık verileri bakımından rıza alma koşulu bertaraf edilebilecektir.

Bunun yanında alınan her verinin sağlık verisi olmadığına da değinmekte fayda var. Örneğin bir çalışanın son bir aydaki seyahat geçmişi özel nitelikli bir veri olarak kabul edilmeyecektir. Dolayısıyla bu veriler bakımından KVKK’nın 5.maddesinde yer alan daha geniş kapsamdaki istisnai hükümler söz konusu olabilecektir.

Her halükârda KVKK’nın 4. maddesinde yer alan temel ilkeler de göz ardı edilmemeli ve söz konusu kişisel veriler özellikle amacına uygun bir şekilde ve ölçülülük ilkesine uymak kaydıyla işlenmelidir.

Son olarak değinilmesi gereken husus, GDPR’ın özellikle özel nitelikli veriler bakımından KVKK’ya göre oldukça kapsamlı bir istisna rejimi barındırıyor oluşudur. Bu yönüyle özellikle Türkiye’de faaliyet gösteren ancak küresel ayağı da bulunan şirketlerin KVKK’nın bu noktadaki ayrıksı pozisyonunu göz ardı etmemeleri önem arz etmektedir.

Bir çalışanımızın COVID-19’a yakalandığından emin olduk. Peki, bu durumu kimler ile paylaşmalıyız? Diğer çalışanımızı ve kamu otoritelerini ne ölçüde bilgilendirebiliriz?

COVID-19’un yayılma hızı ve yıkıcı etkileri göz önüne alındığında, yetkili otoritelere bildirimlerin hızlı bir şekilde yapılması ve tedbirlerin ivedilikle alınması gerektiği açıktır.

KVKK anlamında, mevcut durum kamu güvenliğini ve kamu düzenini tehdit ettiğinden verilerin Sağlık Bakanlığı ve ilgili otoritelerce işlenmesinin önünde bir engel bulunmamaktadır. Ancak, sağlık verilerinin işveren tarafından otoritelere aktarımı, KVKK’ya tabi olacaktır. Çalışanın enfekte olduğu bilgisi sağlık verisi olarak kabul edileceğinden, özel nitelikli kişisel verilere ilişkin hükümler göz önüne alınmalıdır. Çalışanın rızasını alma yoluna gidilmesi tercih edilebilir. Ancak özellikle içinde bulunduğumuz durumun potansiyel mali etkileri göz önüne alınırsa, enfekte olan çalışanın iş güvenliği anlamında kendini baskı altında hissetme riski bulunmaktadır. Bu doğrultuda çalışanın rızasına dayanarak gerçekleştirilen işleme ve aktarım faaliyetleri riskli gözükmektedir. Diğer yandan, teoride bu bildirimlerin iş yeri hekimleri tarafından yapılması gerekeceği söylenebilir. Ancak, mevcut durumda bu yöntemin uygulanabilirliği tartışmalı olacaktır. Geniş pencereden incelediğimizde hekimler her zaman işyerinde bulunmayabilir. Salgının yayılma hızı düşünülürse, çalışan işyerine gelmeden ya da hekimi ziyaret etmeden de hastalık bildirimi yapabilir.

Bu durumda, kamu sağlığının korunması adına hızlı aksiyon alabilmek için şirketler, insan kaynakları gibi çalışana doğrudan temas eden birimleri içerisinde sınırlı sayıda ekipler oluşturularak, gerekli bildirimleri bu ekipler üzerinden gerçekleştirmeyi tercih edebilirler. Bu noktada, genel veri işleme prensipleri göz önüne alınarak, çalışanın enfekte olduğuna dair bilginin mümkün olduğunca dar bir çevrede bilinmesi, ekiplerin az sayıda (bir veya iki kişi) çalışandan oluşturulması gerekmekte ve enfekte olan çalışanın gizliliğine üst seviyede dikkat edilmelidir.

Bir diğer yandan, enfekte olan çalışanın gizliliği göz önüne alınarak, çalışanın kimliğinin şirket içerisinde duyurulmaması gerekmektedir. Ancak yukarıda da açıkladığımız üzere, maalesef salgın çok ciddi bir hızla yayılmaktadır. Bu doğrultuda, iş sağlığı ve güvenliğinin önemi göz önüne alınarak, diğer çalışanın sağlığının ve bağışıklığının korunması adına, şirket içerisinde COVID-19 enfekte bir çalışanın bulunduğunun isim belirtmeksizin duyurulması gerekebilir.

Şirket içerisinde yapılacak duyurularda şirket çalışanlarına COVID-19 enfekte bir çalışanın bulunduğu, evden çalıştığı ya da izinde olduğu belirtilmeli; ancak şirket içi seviye ya da ekip gibi çalışanın kim olduğunun tespitini sağlayacak detaylar paylaşılmamalıdır.

Pek çok şirket evden/uzaktan çalışma metodunu benimsemiş gözüküyor. Peki, uzaktan çalışan personeli takip edebilir miyiz?

Sosyal medya üzerinde ve Whatsapp gruplarında, şirketlerin evden çalışan personeli farklı şekillerde denetlediğine dair söylemlerle karşılaşmaktayız.

İşveren’in, çalışanlara teslim etmiş olduğu işlerin akıbetini takip etmek istemesi, yönetim hakkı kapsamında mümkündür. Ancak personelin çalışma takibini gerçekleştirirken, kişisel verilerin korunması kapsamındaki genel ilkelere riayet edilmesi çok önemlidir. Buradan doğabilecek olumsuz sonuçların yansıması yalnızca kişisel verilerin korunması alanında değil, iş hukuku açısından da işverenleri zor durumda bırakabilir.

Bu doğrultuda, çalışan cihazlarından konum takibi, web cam ve benzeri izleme teknolojileri aracılığıyla çalışanın kontrolü gibi ‘aşırı’ veri işleme faaliyetlerinden kaçınılmalı, çalışan ile günlük bazda gerçekleştirilecek telefon görüşmeleri gibi biraz daha düşük teknolojili ve eski usul metotların tercih edilmesi önerilmektedir.

Uzaktan çalışmanın doğurduğu riskleri veri güvenliği açısından ne şekilde minimize edebiliriz?

Pek çok şirket hali hazırda 21.yüzyılın gereklerine ve tehlikelerine ayak uydurmuş ve ofisteki çalışma cihazları ve sistemleri için veri güvenliğini üst düzeye taşımıştır. Ancak şirketlerin ister istemez evden çalışma metoduna eğilim gösterdiği bu dönemde, aynı güvenlik önlemlerinin evden/uzaktan çalışma için de uygulanması gerekmektedir.

COVID-19 salgınının bu kadar hızlı bir şekilde yayılmış olması sebebiyle, maalesef pek çok şirket her bir çalışana ayrı bir uzaktan çalışma cihazı tesis etme fırsatı bulamadı. Bu sebeple zaman zaman çalışanın şahsi cihazlarından ofis işlerini yürüttüğünü görmekteyiz.

Bu durumun doğurabileceği risklerin minimize edilmesi adına, başta şirket sistemlerine ve dokümanlarına VPN bağlantısı ile erişim, anti-virüs sistemlerinin ve güvenlik duvarlarının güncelliği ve işlerliğinin sağlanması olmak üzere, her türlü iyi piyasa uygulaması izlenmeli ve şirketler bünyesinde uygulamaya alınmalıdır.

Ek olarak, iş hayatındaki veri gizliliği (hem kişisel veri hem de ticari anlamda gizli bilgiler babında) ihlallerinin çok büyük oranı, çalışanın doküman gönderirken ya da uzaktan çalışırken kişisel e-posta hesaplarını kullanması neticesinde gerçekleşmektedir. Herkesin uzaktan çalışma metoduna geçtiği bugünlerde, çalışanın bu uygulamanın olumsuz sonuçları konusunda dikkatle bilgilendirilmesi gerekmektedir.

Sonuç olarak,

COVID-19 küresel bir salgın olsa da hukuksal açıdan da şirketler bakımından ele alınması gereken yeni konuları beraberinde getiriyor. Bu süreçle mücadele ederken şirketlerin hukuk düzenin gerekliliklerini yerine getirmesi de hala önem arz ediyor.

Kişisel verilerin korunması alanı bu süreci en yakından ilgilendiren regüle alanlardan bir tanesi. Pek çok veri koruma otoritesi bu süreçte uyulması gereken kurallara ilişkin yönlendirici açıklamalar yaparken ülkemizde Kişisel Verilerin Korunması Kurumu halen sessizliğini korumakta. Bu konuda Kurum’dan bir açıklama yapılması durumda sizleri bilgilendirmeye devam ediyor olacağız.

KVK Kurulu’ndan Başvuru ve Şikayet Sürelerine ilişkin Kamuoyu Duyurusu

Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından 13 Şubat 2019 tarihinde duyurulan, 24.01.2019 tarih ve 2019/9 sayılı karar (“Karar”) ile birlikte, başvuru ve şikâyet sürelerine ilişkin bazı soru işaretlerini gidermek adına başvuru sürelerine ilişkin çeşitli ihtimallere açıklık getirilmiştir.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”), veriye temas edenlerin yükümlülükleri ile birlikte verisi işlenen ilgili kişilerin hakları da düzenlenmiştir. Kanun, ilgili kişiler tarafından yürütülecek veri sorumlularına başvuru ve Kurul nezdinde şikâyet imkânlarını 13 ve 14. Maddelerinde yer verdiği hükümler ile açıklamaktadır.

Kanun’un ilgili maddeleri uyarınca veri sorumlusu, kendisine gelen ilgili kişi başvurularını en geç otuz gün içerisinde yanıtlamakla yükümlüdür. Başvurunun reddedilmesi, hiç yanıt verilmemesi veya verilen yanıtın ilgili kişi tarafından yeterli bulunmaması hâllerinde; ilgili kişinin Kurul nezdinde şikâyet sunma hakkı saklıdır. Ancak Kanun metninde de açıkça belirtildiği üzere, şikâyet öncesinde, veri sorumlusuna başvuru müessesesinin tüketilmesi gerekmektedir.

13 Şubat 2019 tarihinde Kişisel Verileri Koruma Kurumu’nun internet sitesi üzerinden yayınlanan Karar’da veri sorumlusuna başvuru ve başvuruya verilen yanıta istinaden Kurul’a başvurma sürelerinin yorumlanmasına ilişkin endişelerin giderilmesi adına başvuru süreleri üç farklı ihtimal üzerinde durularak açıklanmıştır.

Veri Sorumlusunun Yanıtı Şikayet Süresi
Başvuruya 30 gün içinde yanıt verilmesi Veri sorumlusu tarafından verilen yanıttan itibaren 30 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya hiç yanıt verilmemesi Veri sorumlusuna yapılan başvurudan itibaren 60 gün içerisinde şikâyette bulunulması gerekir.
Başvuruya 30 günlük süre tamamlandıktan sonra yanıt verilmesi Veri sorumlusuna yapılan başvurudan itibaren, 30 günlük cevap verme süresi beklendikten sonra 30 gün içerisinde (başvuru tarihinden itibaren 60 gün) içerisinde şikâyette bulunulması gerekir.

Karar’da 60 gün olarak açıklanan sürelerin, başvuru sürecinin doğası gereği, başvuruyu izleyen otuz günlük sürenin sonunda başlayacak olan, yeni bir otuz günlük süre olarak yorumlanması yerinde olacaktır. Zira aslında veri sorumlusuna başvuruya yanıt hakkı tanıyan ilk otuz günlük dönemde (yanıt alınmadığı müddetçe) herhangi bir şekilde şikâyet prosedürünü işletmek mümkün değildir.

Son olarak hatırlatmak gerekir ki, her ne kadar Karar’da yer alan açıklamalar veri sorumlusu tarafından başvuruya yanıt verilmesini esas alsa da mevzuatta da açıkça belirtildiği üzere, ilgili kişinin, yanıtın tatmin edici olmaması hâlinde,  veri sorumlusunun yanıtından itibaren 30 gün içerisinde Kurul nezdinde şikâyet yoluna başvurma haklı saklı kalacaktır.

GDPR İHLALİ İLE GOOGLE’A 50 MİLYON € CEZA!

Fransız Veri Koruma Otoritesi Ulusal Bilişim ve Özgürlük Komisyonu (“CNIL”), 21 Ocak 2019 tarihinde kamuoyuna açıkladığı karar ile birlikte, Google LLC’nin (“Google”), şeffaflık ilkesinin ve aydınlatma yükümlülüğünü Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (“GDPR”) gerekliliklerine uygun olarak getirmediği ve belirli faaliyetler için alınan rızanın geçersiz olduğu gerekçeleri ile 50 Milyon € değerinde ceza ödemesine hükmetti.

GDPR’ın yürürlüğe girdiği 25 Mayıs 2018’i izleyen hafta içerisinde, pek çok küresel ve sektör lideri firma gibi, Google’ın da faaliyetlerinin veri koruma mevzuatına uygunluğu şikâyet konusu olmuştu. Bilişim ve özgürlük gibi kamuya hitap eden alanlarda faaliyet gösteren sivil toplum örgütleri olan None Of Your Business (“NOYB”) ve La Quadrature du Net (“LQDN”), CNIL’e şikâyetlerini sunmuşlardı. Şikâyetler temel olarak, Google’ın hüküm ve koşullarını kabul etmeksizin, Android telefonları kullanmanın mümkün olmadığı ve Google tarafından gerçekleştirilen davranış analizi ve kişiye özgü reklam faaliyetleri için hukuki bir dayanak bulunmadığı iddiaları etrafında şekillenmekteydi. CNIL tarafından yürütülen soruşturma ve alınan karar, hem sektörlerinde hâkim konumda olan şirketlere uygulanacak cezalar için içtihat oluşturması açısından; hem de veri koruma otoritelerinin küresel firmalar nezdinde gerçekleştirecekleri soruşturmalara ilişkin yetki değerlendirmesi açısından büyük önem taşıyor.

I. VERİ KORUMA OTORİTELERİNİN YETKİSİ 

Google şikâyetlerle ilgili bildirimlerin kendisine ulaşmasını takiben, GDPR uyarınca bu tür şikâyetlerin ‘veri sorumlusu kuruluşun genel merkezinin bulunduğu ülke’ veri koruma otoritesi tarafından yetkili olarak değerlendirilmesi gerektiğini savunmuş ve anılan şikâyetlerin İrlanda veri koruma otoritesine aktarılmasını talep etmişti.

Bu talebe dayanak olarak, (i) Google Ireland Ltd.’nin (“Google İrlanda”), Google’ın AB içerisindeki ana kuruluşu olması, (ii) finansal süreçler ve denetim süreçleri gibi pek çok idari sürecin Google İrlanda tarafından yürütülmesi, (iii) AB’de yer alan müşteriler ile kurulan reklam hizmetleri sözleşmelerinin Google İrlanda tüzel kişiliği altında yapılması, (iv) Google İrlanda altında yalnızca gizlilik sorunları ile ilgilenmek üzere istihdam edilmiş bir ekip bulunması ve (v) Google’ın küresel iştirakleri tarafından, Google bünyesinde AB vatandaşlarının verilerinin işlenmesini içeren süreçler için Google İrlanda’nın veri sorumlusu olarak konumlandırılmış ve kabul edilmiş olması gösterilmişti.

Google’ın itirazları CNIL tarafından, GDPR’ın 4.maddesinin 16.fıkrası ve 36 sayılı gerekçesi ile gerekçelendirilmek suretiyle reddedilmişti. Ret kararı temelde Google İrlanda’nın, Google’ın kişisel veri işleme faaliyetleri üzerinde karar alma yetkisi olmadığı ve ana kararlarda rol aldığına ilişkin yeterli dayanak bulunamadığı nedeniyle verilmişti. Ana kuruluş değerlendirmesinden bağımsız olarak, şikâyetlerin temel kaynaklarından birisi olan Android yazılımının Google tarafından geliştirilmiş olması, Google’ın aydınlatma metinlerinde Google İrlanda’nın karar verici iştirak olarak belirtilmemesi de talebin reddinde büyük rol oynadı. Netice olarak CNIL yetkili otorite olduğunu tespit edip ihlallerin içeriğini değerlendirdi.

II. TESPİT EDİLEN İHLALLER

CNIL’in esasa ilişkin değerlendirmelerinde, Google’ın cezaya tabi olduğuna karar verdiği bulgular şu şekilde:

  • Aydınlatmanın Erişilebilir Olmaması: CNIL, ilgili kişilerin Google’ın aydınlatma metni niteliği taşıyan bilgilendirmelerinde metinlerinde, yanıtların farklı dokümanlarda yer aldığını ve kullanıcıların pek çok farklı doküman arasında yanıt aramak durumunda kaldığını belirtmiştir.
  • Bilgilendirmenin Yeterince Açık ve Saf Olmaması: Veri koruma mevzuatlarında genel ölçüt, bilgilendirmenin konuya hâkim olmayan kişiler tarafından da anlaşılabilmesi olarak belirlenmektedir. Google uygulamaları özelinde ise ilgili kişilerin ‘verilerim neden toplanıyor?’ sorusuna yanıt almakta zorlandığı belirtilmiştir.
  • ‘Şemsiye’ Aydınlatma: CNIL’in kararını incelediğimizde, Google’ın doktrinde ‘şemsiye aydınlatma’ olarak tabir edilen genel bir hataya düştüğü görülmektedir. Google verileri pek çok farklı hukukî dayanakla işlemektedir. Bu, hukuki açıdan yapılabilir kabul edilse de, ilgili kişilerin, işleme faaliyetleri baz alınarak farklı hukukî dayanakları bilmesi gerektiği vurgulanmaktadır. Şikâyet konularından birisi olan kişiye özgü reklam faaliyetleri esasen rızaya tabi bir veri işleme faaliyeti olmasına karşın, Google’ın bilgilendirme dokümanlarında bu faaliyetin rızaya tabi olduğu ise açıkça belirtilmemiştir.
  • Bilgilendirmenin Zamanında Yapılmaması: Kural olarak verinin toplanması esnasında, ilgili kişinin bilgilendirilmesi esastır. Ancak CNIL Android ürünlerinin kullanımında, kullanıcıların bilgilendirme metnine erişebilmek için profil oluşturması (‘verinin toplanması’) gerektiğini tespit etmiştir. Bu durumda ise sürecin mevcut modelinde aslında bilgilendirme veri toplandıktan sonra yapılmış olmaktadır.
  • Rızanın Hukuka Uygun Olarak Alınamaması: Veri koruma mevzuatında tanımlanan rızanın unsurları arasında, ilgili kişinin bilgilendirilmiş olması da yer almaktadır. Yukarıda da açıklamış olduğumuz üzere, her ne kadar kişiye özgü reklam faaliyeti ilgili kişilerin rızası esas alınarak gerçekleştirilse de, bilgilendirme ile ilgili tespit edilen hususlar aslında rızayı da hukukî olarak sağlıksız hale getirmektedir. Zira rıza veren kişi aslında, yeterince bilgilendirilmemiş olmaktadır. CNIL bu hususu bir adım daha ileri taşıyıp ve kişiye özgü reklamcılık için rıza alınan bölümde Google’ın Youtube, Google Plus, Google Maps, Playstore gibi uygulamalardan söz etmediğini, ancak bu platformlardan toplanan çevrimiçi verilerin de işlendiğini tespit etmektedir. Yine mevzuata ve Avrupa’da oturmuş veri koruma içtihadına bakıldığında rızanın ‘aktif’ bir hareketle alınması gerektiği görülmektedir. CNIL, Google tarafından bu veri işleme faaliyetine ilişkin rıza alınması esnasında onay verilen ‘kutucuğun’ otomatik olarak işaretlenmiş olduğunu belirtmektedir. Bu kapsamda aslında kişi aktif bir hareketine ihtiyaç duyulmaksızın rıza vermiş olmaktadır.

III. CEZANIN BELİRLENMESİ

Türkiye’de, Nisan 2018 itibariyle tam anlamıyla yürürlüğe giren Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında öngörülen cezaların ne şekilde uygulanacağı tartışma konusudur. Türk veri koruma otoritesi tarafından bazı veri sorumlularına cezaî işlem uygulanmış olmasına karşın cezaların nasıl belirleneceği, cezanın şahsiliği ilkesinin ne ölçüde uygulanacağı gibi tartışmalar, gerek hukukî platformlarda gerek akademide henüz net bir yanıt bulamamış durumdadır.

Buna karşın CNIL, 50 milyon €’luk cezayı nasıl belirlediği konusunda bizleri biraz olsun aydınlatmaktadır. Yapılan açıklamaya göre (i) aydınlatma yükümlülüğünün ve şeffaflığın kişisel verilerin korunması üzerindeki önemi, (ii) ihlâlin tek seferlik değil, geçmişten gelen ve bugün dahi sürmekte olan bir ihlâl olması, (iii) hakları ihlâl edilen kullanıcıların (ilgili kişilerin) sayılarının fazlalığı ve (iv) Android telefonların soruşturmanın yürütüldüğü yer olan Fransa’daki yaygınlığı ceza miktarının belirlenmesinde göz önüne alınmıştır.

Her ne kadar 50 milyon €, kamuoyunda yarattığı yankı ile birlikte ciddi bir meblağ olarak değerlendirilse de, GDPR kapsamında anılan ihlaller için öngörülen ceza miktarı, grup şirketlerin global cirosunun %4’üne kadar çıkabilmektedir. 50 milyon € ise Google’ın yıllık cirosunun yalnızca %0,05’ine tekabül etmektedir.

Karara ilişkin şikâyet sürecini başlatmış olan sivil toplum örgütleri ise, cezanın yeterli olmadığını, Google’ın çok daha fazla ilkeyi ihlâl ettiğini iddia etmeyi sürdürürken, Google CNIL tarafından verilen kararı Fransız Danıştayı’nın önüne taşımıştır.