KVKK Yeni Yayımlanan Karar Özetleri - 19 Temmuz 2022 İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi hakkında, Eski Ortağı Olduğu Şirketin Sicil Bilgilerinin Görüntülendiği İnternet Adresinde Kişisel Verilerinin Hukuka Aykırı Olarak Paylaşılması, Unvanında İlgili Kişinin Adının Geçtiği Bir Şirket Hakkında Başlatılan İcra Takibine İlişkin Dosya İçeriğinin Sosyal Medyada Paylaşılması hakkında kararlar;
Kişisel Verilerin İş Akdinin Sona Erdiği Şirket Tarafından Hukuka Aykırı Olarak İşlenmesi
“İlgili kişinin kişisel verilerinin iş akdinin sona erdiği veri sorumlusu şirket tarafından hukuka aykırı olarak işlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1258 sayılı Karar Özeti
Karar Tarihi | : | 16/12/2021 |
Karar No | : | 2021/1258 |
Konu Özeti | : | İlgili kişinin kişisel verilerinin iş akdi sona erdiği şirket tarafından hukuka aykırı olarak işlenmesi |
İlgili kişinin, Kuruma intikal eden şikayetinde özetle veri sorumlusu şirket nezdinde 10.12.2018 tarihinde işe başladığı, söz konusu görevden 30.12.2019 tarihinde ayrıldığı, kişisel verilerine yönelik olarak veri sorumlusu şirkete başvuru yapmak istediğinde şirketin bir başvuru formunun bulunmadığı gibi başvuru yollarının da tarafına bildirilmediği, aydınlatma yükümlülüğünün hukuka uygun olarak yerine getirilmediği, özel nitelikli kişisel verilerinin açık rızası olmaksızın işlendiği, veri sorumlusu şirkete parmak izi ve yüz tarama sistemi ile giriş yapıldığı, grup şirketinin farklı firmalarının yurt dışında şubesinin olduğu ve ilgili kişi yurt dışı şubesine ziyarete gittiğinde kişisel verilerinin açık rızası olmaksızın yurt dışına aktarılmış olduğu, kişisel verilerine yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı, veri sorumlusu şirketin internet sitesinde gizlilik politikasının bulunmadığı hususları ifade edilerek veri sorumlusu şirket hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;
- İlgili kişinin, şirkette “e-ticaret pazar yerleri yetkilisi” olarak işe başladığı ve daha sonrasında istifa ettiği, istifa süreci yaşanırken ilgili kişinin şirket ile rakip alanda faaliyet gösteren bir firmada çalışmak üzere istifa ettiği bilgisinin şirket tarafından öğrenildiği, bu nedenle ilgili kişiye keşide edilen 07.01.2020 tarihli ihtarname ile “muhatabın iş sözleşmesinin 7.7. maddesi uyarınca 3 yıllık çalışma süresi dolmayan çalışanın, ‘….’ eğitimi nedeniyle ödenen eğitim ücretinin iadesi ve ayrıca iş sözleşmesinin 8. maddesinde düzenlenen rekabet yasağına aykırı davranışları nedeniyle sözleşme maddesi uyarınca son aylık brüt ücretinin 12 katı tazminat ödemesi gerektiği, aksi takdirde yasal yollara başvurulacağının…” bildirildiği,
- İlgili kişi tarafından söz konusu ihtarnameye cevaben gönderilen 23.01.2020 tarihli ihtarname ile rekabet yasağı ihlali iddialarının kabul edilmediği, eğitim giderinden işçinin sorumlu tutulamayacağının bildirildiği, Kanun’un 11’inci maddesi uyarınca veri sorumlusuna başvuru mahiyetinde Şirkete toplam 8 soru yöneltildiği,
- Şirket tarafından ilgili kişinin Kanun’un 11’inci maddesi uyarınca veri sorumlusuna başvuru mahiyetindeki sorularına cevap verildiği, söz konusu cevapta Şirket tarafından tüm çalışanlara ilişkin kişisel bilgilerin 6698 sayılı Kanun’daki önlemlere göre muhafaza edilmekte ve Kanun’dan doğan tüm yükümlülüklerin Şirket tarafından yerine getirilmekte olduğunun belirtildiği,
- Şikâyet dilekçesinde ileri sürülen “kişisel verilere yönelik başvuru yapılmak istendiğinde bir başvuru formunun olmadığı, başvuru yollarının bildirilmediği, aydınlatma yükümlülüğünün yerine getirilmediği” iddialarının tümünün gerçek dışı olduğu, ilgili kişinin imzaladığı iş sözleşmesinin “Kişisel Verilerin İşlenmesi ve Korunması” başlıklı 9’uncu maddesindeki ifadelerden Şirketin aydınlatma yükümlülüğünü yerine getirdiğinin görüleceği,
- Ayrıca, Şirket’in yalnızca kendi çalışanları için kurmuş olduğu sosyal bir ağ olan “…” adresinden de aydınlatma metninin yayınlanmış olduğu ve bu aydınlatma metninde kişisel verilere yönelik başvurunun nasıl yapılacağı ve başvuru yolları konusunda ayrıntılı bilginin yer aldığı,
- Parmak izi ve yüz tarama sisteminin Şirketin ve çalışanların güvenliğini sağlamak amacıyla kullanıldığı, ilgili kişiden de parmak izinin bu kapsamda alındığı, tanımlama sonrası bu verilerin üçüncü kişiler ile paylaşılmadığı ve Kanun doğrultusunda amaçla uygun ve sınırlı ölçüde kullanılmakta olduğu, bunlar haricinde ilgili kişiye ait Şirket tarafından işlenmiş olan bir özel nitelikli kişisel veri bulunmadığı,
- İlgili kişinin yurt dışına aktarılan bir kişisel verisinin bulunmadığı,
- Şikâyet dilekçesinde ileri sürülen kişisel verilere yönelik yeterli teknik ve idari güvenlik tedbirlerinin alınmadığı ve veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığı iddialarının kabulünün mümkün olmadığı, veri sorumlusunun hem çalışanlarının hem müşterilerinin kişisel verilerinin korunmasını sağlamak için gerekli tüm teknik ve idari güvenlik tedbirlerini almış olduğu
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 16/12/2021 tarihli ve 2021/1258 sayılı Kararı ile;
- Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında,
“Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,
- Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
- Somut olayda, veri sorumlusu tarafından sadece şirket personelinin erişim sağlayabildiği bir sosyal medya platformunda veri sorumlusuna başvuru formunun ve aydınlatma metninin yer almakta olduğunun ifade edildiği, ancak söz konusu başvuru formuna savunma dilekçesi ekinde yer verilmediği, aydınlatma metninin ise sadece adı geçen platformdaki başlığının görüntüsünün savunma dilekçesi ekinde yer aldığı,
- Savunma dilekçesi ekinde yer alan ve ilgili kişiyle imzalanmış olan iş sözleşmesinin “Kişisel Verilerin İşlenmesi ve Korunması” başlıklı 9’uncu maddesiyle veri sorumlusunun aydınlatma yükümlülüğünü yerine getirmiş olduğunun iddia edildiği, ilgili kişinin imzalamış olduğu iş sözleşmesinin aydınlatma yerine geçtiği iddia edilen 9’uncu maddesinin hem aydınlatmaya yönelik hem de ilgili kişiden açık rıza alınmasına yönelik ifadeler içeren, aydınlatma ve açık rıza metinlerinin içermesi gereken asgari unsurları da tam olarak içermeyen karma bir metin şeklinde kaleme alındığı, bu nedenle, Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5’inci maddesinin (1) numaralı fıkrasının (f) bendi gereğince kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekliliği sağlanmadığından şekli olarak aydınlatmanın usulüne uygun yapıldığından söz edilemeyeceği,
- Veri sorumlusu tarafından 2020 yılı Temmuz ayından itibaren ayrı ayrı hazırlanmış Çalışan Açık Rıza Metni ve Çalışan Aydınlatma Metninin personellere imzalatıldığı belirtilmiş olsa da Kuruma sunulan bu metinlerde ilgili kişinin imzasının bulunmadığı görülmüş olup ilgili kişinin şikayeti bakımından bu belgelerin esas alınamayacağı,
- Özel nitelikli kişisel veri işlemenin açık rıza veri işleme şartına dayandırıldığı ancak “Açık rıza” kavramının Kanun’un 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde; “Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklinde tanımlandığı, ilgili kişilerin açık rızasının alınacağı hallerde; rızanın belirli bir konuya ilişkin olması, bilgilendirmeye dayanması ve özgür iradeyle açıklanması gerektiği, veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi ve veri sorumlusu tarafından açık rıza beyanının hangi konuya ilişkin olarak istenildiğinin açıkça ortaya konulması gerektiği, bununla birlikte; açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza verebilmesi için neye rıza gösterdiğini de bilmesi ve kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerektiği, bu sebeple bilgilendirmenin; veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde, mutlaka verinin işlenmesinden önce yapılması, ayrıca açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde ve kendi kararı sonucunda olması ve açık rızanın özgür iradeyle açıklanmasının önem teşkil ettiği, herhangi bir hususun ilgili kişi tarafından açık rıza verilmesi şartına bağlanmaması, tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği,
- Şikayete konu olayda ise ilgili kişinin açık rızasının alınması için iş sözleşmesine bir madde eklenmesi yoluna gidildiği, ilgili kişiye, özel nitelikli kişisel verilerin işlenmesine dair açık rıza beyanının iş sözleşmesiyle birleşik olarak sunulması sebebiyle ilgili kişinin özel nitelikli kişisel verilerinin işlenmesinde açık rıza verip vermemek konusundaki kararının özgür iradeye dayandığından söz edilemeyeceği, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından; iş sözleşmesinde bir madde olarak yer alan açık rıza şartını kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmadığı, bu anlamda veri sorumlusu tarafından dayanılan açık rıza veri işleme şartının hukuka aykırı olduğu,
- Öte yandan, Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinin (ç) bendinde belirtilen işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi gereği de işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik olarak veri işlenmesi yoluna gidilmemesi gerektiği anlamına geldiği, ölçülülük ilkesinin ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması anlamına geldiği, bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel verilerin toplanmaması ve/veya işlenmemesi gerektiği, veri sorumlusunun amacı çerçevesinde ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmesi, bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınmasının önem arz ettiği,
- Kişisel verilerin işlenmesinin ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rızanın, aşırı miktarda veri toplanmasını meşrulaştırmayacağı, buna göre kişisel verilerin yalnızca belirli amaçlar için ve gerektiği kadar toplanması, amacın gerektirdiği yerlerde kullanılması ve amaç için gerekli olandan uzun süre tutulmaması gerektiği, bu doğrultuda, ilgili kişiye ait parmak izi ve yüz tarama verilerinin işlenme sebebi olarak veri sorumlusu tarafından belirtilen şirket çalışanlarının güvenliğinin sağlanması ihtiyacı ile orantısız olduğu, aynı amaca biyometrik verilerin işlenmesini gerektirmeyen manyetik kart okuyucu ve kontrol listesi gibi yöntemlerle de ulaşılabilmesi mümkün iken veri sorumlusu tarafından biyometrik veri işlenmesi yoluna gidilmesinin Kanun’un genel ilkelerinden ölçülü olma ilkesine uygun olmadığı,
- Öte yandan, ilgili kişinin veri sorumlusu şirketin yurt dışında yer alan şubesine gittiği süreçte kişisel verilerinin açık rızası olmaksızın yurt dışına aktarıldığını iddia ettiği, veri sorumlusunun ise savunma dilekçesinde ilgili kişinin herhangi bir kişisel verisinin yurt dışına aktarılmadığını belirttiği, ancak şikâyet dilekçesinde aktarım faaliyetine ilişkin somut bilgi ve belgelere yer verilmemiş olduğu ve bu nedenle bu iddialar bakımından Kanun kapsamında yapılacak bir işlem bulunmadığı,
- Şikâyet dilekçesinde veri sorumlusunun internet sitesinde gizlilik politikasının bulunmadığının da belirtildiği, veri sorumlularının Kanun’un 10’uncu maddesi kapsamında aydınlatma yükümlülüğünü yerine getirmekle yükümlü olduğu, her ne kadar uygulamada veri sorumluları tarafından gizlilik politikası adı altında belgeler hazırlanıp ilgili kişilerin dikkatine sunuluyor olsa da Kanun’da ve Kanun ile ilgili diğer mevzuatta veri sorumluları tarafından gizlilik politikası hazırlanmasına dair bir yükümlülük yer almadığı
değerlendirmelerinden hareketle;
- İlgili kişinin iş sözleşmesine bir madde olarak eklenen aydınlatma metninin aynı zamanda açık rıza metni niteliği de taşıyan karma nitelikte bir metin olduğu, aydınlatma metninin içermesi gereken asgari unsurları içermediği ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’in 5’inci maddesinin (1) numaralı fıkrasının (f) bendi gereğince aydınlatmanın açık rıza beyanından ayrı olarak yerine getirilmediği dikkate alındığında aydınlatma yükümlülüğünün Kanun’un 10’uncu maddesi ve Tebliğ’e uygun şekilde düzenlenerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
- Veri sorumlusunun biyometrik veri işlemekte hukuki sebep olarak ileri sürdüğü iş sözleşmesinde bir madde olarak yer alan açık rıza metninin, ilgili kişinin iş sözleşmesini imzalamadan işe başlamak gibi bir şansı bulunmadığından, özgür irade ile imzalanmadığı, söz konusu açık rıza metnini kabul etmeme imkanının etkin bir biçimde ilgili kişiye tanınmamış olduğu, personelin işyerine giriş çıkışlarında kullanılan biyometrik verilerle ulaşılmak istenen amaca başka vasıtalarla ulaşılabilecek olmasına rağmen açık rıza şartına dayanılarak biyometrik veri işlenmesinin Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde yer alan amaç ile ölçülü olma ilkesine aykırı olduğu gerekçeleriyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına,
- Hukuka aykırı işlendiği tespit edilen biyometrik veri işleme faaliyetine son verilmesi, öte yandan söz konusu verilerin Kanun’un 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesine Dair Yönetmelik hükümlerine uygun şekilde imha edilerek sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına, karar verilmiştir.
Eski Ortağı Olduğu Şirketin Sicil Bilgilerinin Görüntülendiği İnternet Adresinde Kişisel Verilerinin Hukuka Aykırı Olarak Paylaşılması
“İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin hukuka aykırı olarak paylaşılması” hakkında Kişisel Verileri Koruma Kurulunun 06/01/2022 tarih ve 2022/6 sayılı Karar Özeti
Karar Tarihi | : | 06/01/2022 |
Karar No | : | 2022/6 |
Konu Özeti | : | İlgili kişinin eski ortağı olduğu şirketin sicil bilgilerinin görüntülendiği internet adresinde kişisel verilerinin hukuka aykırı olarak paylaşılması |
Kuruma intikal eden şikâyette; ilgili kişinin eski ortağı olduğu şirkete ait sicil bilgilerinin yer aldığı “…” internet sayfasında eski ortaklar başlığı altında ad ve soyadının yazılı olduğu, şirketle herhangi bir hukuki veya idari bağının kalmadığı, dolayısıyla kişisel verilerinin üçüncü kişilerle izni olmaksızın paylaşılmasını istemediği, bu kapsamda veri sorumlusu Ticaret Odası’na sözlü ve yazılı olarak başvuruda bulunulduğu, Ticaret Odası tarafından ilgili kişinin talebinin Türk Ticaret Kanunu ve Ticaret Sicili Yönetmeliği gereğince yerine getirilemeyeceğinin belirtildiği ifade edilerek gereğinin yapılması talep edilmiştir.
Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusu Ticaret Odası’ndan savunması istenilmiş olup alınan cevabî yazıda özetle;
- Türk Ticaret Kanunu hükümleri gereğince tescile tabi olan kayıt, değişiklik ve kayıt silme işlemlerinin Ticaret Sicili Müdürlükleri tarafından MERSİS (Merkezi Sicil Kayıt Sistemi) üzerinden yapıldığı, tescile ait ilan metinlerinin ise MERSİS’te üretilerek Türkiye Ticaret Sicili Gazetesinde yayınlandığı,
- Limited şirketlerin kuruluş işleminde ana sözleşmenin ve tüm ortakların tescilinin Türk Ticaret Kanunu’nun 587’nci maddesinde, payların geçiş hallerinin tescilinin ise 598’inci maddesinde düzenlendiği, bu çerçevede; tescile tabi ve üçüncü kişilerin incelemesine açık olan Türkiye Ticaret Sicili Gazetesinde yayınlanan limited şirketlerin pay devrine ilişkin tescillerine ait ilanlarda payı devir alan ortak ile payını devreden ortağa ait ad-soyad bilgisinin yer aldığı, kimlik numarası ve adres bilgisi gibi kişisel verilerin gizlenerek ilan edildiği,
- Şirketin ortaklık yapısının mevzuat gereği tescil edilip ilan edilmesi nedeni ile kişinin ortak olarak ya da eski ortak olarak görünmesinin aleni bir bilgi olduğu, kimlik numarası ve adresi gibi kişisel veri niteliği taşımadığı,
- Bu bağlamda, veri sorumlusunun internet sayfasındaki firma bilgileri içerisinde; Türk Ticaret Kanunu’nun 35 inci maddesi ile Ticaret Sicili Yönetmeliği’nin 15’inci maddesine göre mevzuatın izin verdiği ve Ticaret Sicili Gazetesinde yayınlanarak üçüncü kişilerin incelemesine açık olan bilgilerin yer aldığı
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulu’nun 06/01/2022 tarih ve 2022/6 sayılı Kararı ile;
- 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; hukuka ve dürüstlük kurallarına uygun olma, doğru ve gerektiğinde güncel olma, belirli, açık ve meşru amaçlar için işlenme, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
- Kanun’un, “Kişisel verilerin işlenme şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
- Kanun’un ‘Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi’ başlıklı 7’inci maddesinin (1) numaralı fıkrasında bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hale getirileceği, (2) numaralı fıkrasında kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu, (3) numaralı fıkrasında ise kişisel verilerin silinmesine, yok edilmesine veya anonim hale getirilmesine ilişkin usul ve esasların yönetmelikle düzenleneceği,
- İlgili kişinin ad ve soyadının silinmesi talebinin bulunduğu internet sayfası incelendiğinde Ticaret Odası’nın Bilgi Bankasından Şirket bilgilerine göre bir sorgulama yapılabildiğinin görüldüğü, ilgili kişinin eski ortağı olduğu Şirket hakkında ilgili sayfada sorgulama yapıldığında Şirketin sicil numarası, oda sicil numarası, MERSİS numarası, firma unvanı, iş adresi, odaya kayıt tarihi, sermayesi, iş konusu gibi bilgilerin yanı sıra Tescil ve Gazete Bilgileri başlığı altında sicil gazetesine tescil edilen işlemlere ilişkin bilgi, ayrıca ortaklar ve eski ortakların adı, soyadı, görevi ve sermaye miktarına ilişkin bilgilere yer verildiğinin görüldüğü,
- İlgili kişinin şikâyetinde de ifade edildiği gibi söz konusu Şirketin eski ortağı olarak sorgulama sayfasında ilgili kişinin adı, soyadı ve sermaye miktarının yer aldığının görüldüğü,
- Öte yandan, Ticaret Sicili’nin tutulması hususuna ilişkin ilgili mevzuat incelendiğinde; 6102 sayılı Türk Ticaret Kanunu’nun “Ticaret Sicili-Kuruluş” başlıklı 24 üncü maddesinin “Gümrük ve Ticaret Bakanlığı tarafından il merkezindeki ticaret ve sanayi odaları ile ticaret odalarında faaliyet gösterecek şekilde ticaret sicili müdürlükleri kurulur. Bakanlık il merkezleri dışındaki odalarda ticaret sicili müdürlükleri kurabileceği gibi müdürlüklere bağlı şubeler de kurabilir. Ticaret sicili, Bakanlığın gözetim ve denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulur. Ticaret sicili kayıtlarının elektronik ortamda tutulmasına ilişkin usul ve esaslar Kanunun 26 ncı maddesine göre çıkarılacak yönetmelikte gösterilir. Bu kayıtlar ile tescil ve ilan edilmesi gereken içeriklerin düzenli olarak depolandığı ve elektronik ortamda sunulabilen merkezi ortak veri tabanı, Gümrük ve Ticaret Bakanlığı ile Türkiye Odalar ve Borsalar Birliği nezdinde oluşturulur. Ticaret sicili müdürlüğünün kurulmasında aranacak şartlar ve odalar arasında sicil işlemleri ile ilgili olarak varlığı gerekli işbirliğinin sağlanmasına ilişkin esaslar, Gümrük ve Ticaret Bakanlığınca çıkarılacak bir tebliğle düzenlenir. Ticaret sicili kayıt işlemlerinin elektronik ortamda yapılması için toplanması ve işlenmesi gerekli olan kişisel veriler, kişisel verilerin korunması ve bilgi güvenliğinin sağlanmasına ilişkin mevzuata uygun bir şekilde korunur.” hükmünü haiz olduğu,
- Türk Ticaret Kanunu’nun “Açıklık” başlıklı 35’inci maddesinin “Tescil işleminin dayanakları olan dilekçe, beyanname, senetler, belgeler ve ilanları içeren gazeteler, üzerlerine sicil defterinin tarih ve numaraları yazılarak sicil müdürlüğünce saklanır. Herkes ticaret sicilinin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebileceği gibi giderini ödeyerek bunların onaylı suretlerini de alabilir. Bir hususun sicilde kayıtlı olup olmadığına dair onaylı belge de istenebilir. Tescil edilen hususlar, kanun veya Kanunun 26 ncı maddesine göre çıkarılacak yönetmelikte aksine bir hüküm bulunmadıkça ilan olunur. İlan, Türkiye genelinde sicil kayıtlarının ilanına özgü Türkiye Ticaret Sicili Gazetesi ile yapılır.” hükmünü haiz olduğu,
- Türk Ticaret Kanunu’nun “Tescil ve İlan” başlıklı 587’nci maddesinde “Şirket sözleşmesinin tamamı, kurucuların imzalarının ticaret sicili müdürlüğünde yetkilendirilmiş personelin huzurunda imzalandığı tarihi izleyen otuz gün içinde, şirketin merkezinin bulunduğu yer ticaret siciline tescil ve Türkiye Ticaret Sicili Gazetesinde ilan olunur. Tescil ve ilan edilen şirket sözleşmesine, aşağıda sayılanlar dışında, 36’ncı maddenin birinci fıkrası hükmü uygulanmaz: Şirket sözleşmesinin tarihi, Şirketin ticaret unvanı ve merkezi, esas noktaları belirtilmiş ve tanımlanmış şekilde şirketin işletme konusu; şirket sözleşmesinde bu konuda bir hüküm varsa, şirketin süresi, esas sermayenin itibarî değeri, gerçek kişi ortağın adı ve soyadı, yerleşim yeri, tüzel kişi ortakların unvanı, merkezleri ve her ortağın üstlendiği esas sermaye payları, ayni sermayenin konusu ve bu tür sermayenin karşılığında verilecek esas sermaye payları; …” şeklinde hüküm bulunduğu, aynı Kanun’un Tescil başlıklı 598’inci maddesinde ise “Esas sermaye paylarının geçişlerinin tescil edilmesi için, şirket müdürleri tarafından ticaret siciline başvurulur. Başvurunun otuz gün içinde yapılmaması hâlinde, ayrılan ortak, adının bu paylarla ilgili olarak silinmesi için ticaret siciline başvurabilir. Bunun üzerine sicil müdürü, şirkete, iktisap edenin adının bildirilmesi için süre verir. Sicil kaydına güvenen iyiniyetli kişinin güveni korunur.” hükmünün yer aldığı,
- Türk Ticaret Kanunu’nun 26’ncı maddesine dayanılarak hazırlanan Ticaret Sicili Yönetmeliği’nin “Sicil kayıtlarına erişim hakkı” başlıklı 15’inci maddesi “Herkes, sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebilir. Bu inceleme elektronik ortamda ve/veya müdürlükte yapılabilir… Bunların incelenmesinde müdür, kişisel verilerin korunmasına ilişkin hükümler çerçevesinde gerekli tedbirleri almak zorundadır. İnceleme esnasında müdürün vereceği talimatlara uyulması zorunludur. Aksi takdirde müdür defter ve belgeleri derhal kaldırabilir. Elektronik ortamda yapılacak olan incelemelerde de kişisel verilerin korunmasını ve bilgi güvenliğini sağlayacak tedbirler alınır.” şeklinde düzenlendiği,
- Aynı Yönetmelik’in “Sicil İşlemlerinin Tabi Olduğu Hükümler” başlıklı 28’inci maddesi “(1) Sicile ait tescil, değişiklik ve silinmeler ile diğer iş ve işlemler Kanun ve bu Yönetmelik hükümlerine göre yapılır.(2) Tescil, bir olgunun sicile geçirilmesini; değişiklik, tescil edilmiş bir olgudaki değişiklik dolayısıyla sicildeki kayıtların değiştirilmesini veya düzeltilmesini; silinme ise tescil edilmiş olan bir olgunun ortadan kalkması veya sona ermesi sebebiyle ona ait kayıtların silinmesini ifade eder.” hükmüne, “Tescil edilmiş olgularda değişiklikler” başlıklı 29’uncu maddesinin “Tescil edilmiş olgularda meydana gelen her türlü değişikliğin de tescil edileceğini, “Tescil ve ilanın üçüncü kişilere etkisi” başlıklı 30’uncu maddesinin ise bir olgunun tescil ile beraber derhal üçüncü kişiler hakkında sonuç doğuracağını belirten hükümlere sahip olduğu,
- Türkiye Cumhuriyeti Anayasası’nın “Kamu Kurumu Niteliğindeki Meslek Kuruluşları” başlıklı 135’inci maddesinde “Kamu kurumu niteliğindeki meslek kuruluşları ve üst kuruluşları; belli bir mesleğe mensup olanların müşterek ihtiyaçlarını karşılamak, mesleki faaliyetlerini kolaylaştırmak, mesleğin genel menfaatlere uygun olarak gelişmesini sağlamak, meslek mensuplarının birbirleri ile ve halk ile olan ilişkilerinde dürüstlüğü ve güveni hakim kılmak üzere meslek disiplini ve ahlakını korumak maksadı ile kanunla kurulan ve organları kendi üyeleri tarafından kanunda gösterilen usullere göre yargı gözetimi altında, gizli oyla seçilen kamu tüzel kişilikleridir.” hükmünün yer aldığı,
- 5174 sayılı Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nun “Odalar” başlıklı 4’üncü maddesinde odaların üyelerinin müşterek ihtiyaçlarını karşılamak, meslekî faaliyetlerini kolaylaştırmak, mesleğin genel menfaatlere uygun olarak gelişmesini sağlamak, mensuplarının birbirleri ve halk ile olan ilişkilerinde dürüstlüğü ve güveni hâkim kılmak üzere meslekî disiplin, ahlâk ve dayanışmayı korumak ve bu Kanunda yazılı hizmetler ile mevzuatla odalara verilen görevleri yerine getirmek amacıyla kurulan, tüzel kişiliğe sahip kamu kurumu niteliğinde meslek kuruluşları olduğunun belirtildiği,
- Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nun “Odaların Görevleri” başlıklı 12 nci maddesinin “Odaların görevleri şunlardır:… Ticaret ve sanayiyi ilgilendiren bilgi ve haberleri derleyerek ilgililere ulaştırmak, ilgili kanunlar çerçevesinde resmî makamlarca istenecek bilgileri vermek ve özellikle üyelerinin mesleklerini icrada ihtiyaç duyabilecekleri her çeşit bilgiyi, başvuruları durumunda kendilerine vermek veya bunların elde edilmesini kolaylaştırmak, elektronik ticaret ve internet ağları konusunda üyelerine yol gösterecek girişimlerde bulunmak, bu konularda gerekli alt yapıyı kurmak ve işletmek.” şeklinde düzenlendiği,
- Bu çerçevede ticaret sicilinin, Ticaret Bakanlığının gözetim ve denetiminde ticaret sicili müdürlükleri ve şubeleri tarafından tutulacağı düzenlenmiş olup Ticaret Bakanlığı tarafından il merkezindeki ticaret ve sanayi odaları ile ticaret odalarında faaliyet gösterecek şekilde ticaret sicili müdürlükleri kurulacağı hükmünden de anlaşılacağı üzere ticaret sicili müdürlüklerinin il merkezindeki ticaret odasına bağlı olarak faaliyet gösterdiği,
- Öte yandan, kayıtlar ile tescil ve ilan edilmesi gereken içeriklerin düzenli olarak depolandığı ve elektronik ortamda sunulabilen merkezi ortak veri tabanının, Ticaret Bakanlığı ile Türkiye Odalar ve Borsalar Birliği nezdinde oluşturulduğu,
- Türk Ticaret Kanunu’nun ve Ticaret Sicili Yönetmeliği’nin ilgili maddeleri çerçevesinde, herkesin sicilin içeriğini ve müdürlükte saklanan tüm senet ve belgeleri inceleyebileceği ve bu incelemenin elektronik ortamda ve/veya müdürlükte yapılabileceği ile tescil edilmiş olgularda meydana gelen her türlü değişikliğin de tescil edileceği
- anlaşılmakta olup Şirketin pay devrine ilişkin değişikliğin ticaret sicili gazetesinde tescil edildiği, söz konusu ticaret sicilinin tutulmasından sorumlu ticaret sicil müdürlüklerinin de ticaret odalarına bağlı olarak faaliyet gösterdiği dikkate alındığında söz konusu bilgilerin ticaret odası bünyesinde hâlihazırda mevcut olduğu sonucuna varıldığı,
- Ayrıca, ticaret sicil gazetesinde yer alan bir bilginin ticaret odasının sayfasında bulunmasındaki amacın yine ticaret sicil işlemlerine ilişkin bilginin daha kolay ulaşılabilir olmasını sağlamak adına gerçekleştirildiği, bununla birlikte söz konusu bilgiye yalnızca ilgilileri tarafından ticaret odasının sayfasındaki bilgi bankası platformundan firma bilgileri girilmek suretiyle erişildiği, söz konusu bilginin ticaret sicil gazetesinde yayınlanma amacından farklı bir amaçla yayınlandığına ilişkin herhangi bir emare bulunmadığı dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un Genel İlkeler başlıklı 4 üncü maddesinde yer alan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine de aykırılık teşkil etmediği, diğer yandan söz konusu bilginin ilgili kişi tarafından da belirtildiği üzere doğru olduğu ve yayınlanmasında amaca aykırılık bulunmadığı,
- Diğer taraftan, Anayasa’da ve Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nda yer aldığı üzere Kamu Kurumu niteliğindeki meslek kuruluşları ve üst kuruluşlarının; belli bir mesleğe mensup olanların müşterek ihtiyaçlarını karşılamak, mesleki faaliyetlerini kolaylaştırmak, mesleğin genel menfaatlere uygun olarak gelişmesini sağlamak amacıyla kurulan kamu tüzel kişilikleri olduğu,
- Türkiye Odalar ve Borsalar Birliği ile Odalar ve Borsalar Kanunu’nda yer aldığı üzere; ticaret ve sanayiyi ilgilendiren bilgi ve haberleri derleyerek ilgililere ulaştırmak, ilgili kanunlar çerçevesinde resmî makamlarca istenecek bilgileri vermek ve özellikle üyelerinin mesleklerini icrada ihtiyaç duyabilecekleri her çeşit bilgiyi, başvuruları durumunda kendilerine vermek veya bunların elde edilmesini kolaylaştırmak, elektronik ticaret ve internet ağları konusunda üyelerine yol gösterecek girişimlerde bulunmak, bu konularda gerekli alt yapıyı kurmak ve işletmek şeklinde odalara görev ve sorumlulukların yüklendiği
- dikkate alındığında ilgili Ticaret Odası tarafından “…”internet sayfasında Bilgi Bankası bölümünden firma bilgileri girilmek suretiyle sorgulama yapılmasına ve ticaret sicili gazetesindeki bilgilerin bu platformda yer alması suretiyle bilgiye ulaşımın kolaylaştırılmasına imkân sağlanması suretiyle gerçekleştirilen kişisel verileri işleme faaliyetinin T.C. Anayasası ve 5174 sayılı Türkiye Odalar ve Borsalar Birliği İle Odalar ve Borsalar Kanunu’nda ticaret odaları için öngörülen yükümlülükler kapsamında değerlendirilebileceği dikkate alındığında söz konusu kişisel veri işleme faaliyetinin Kanun’un 5 inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan kanunlarda açıkça öngörülme ve aynı fıkranın (ç) bendinde yer alan veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması şartlarına dayanılarak gerçekleştirildiği sonucuna varıldığı değerlendirmelerinden hareketle;
- Kanun’un “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi” başlıklı 7 nci maddesinde yer alan “Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hâle getirilir.” hükmüne istinaden söz konusu kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkmadığı sonucuna varılmış olup ilgili kişinin bu yöndeki talebi ile ilgili olarak Kanun kapsamında tesis edilecek herhangi bir işlem bulunmadığına karar verilmiştir.
Bir Şirket Hakkında Başlatılan İcra Takibine İlişkin Dosya İçeriğinin Sosyal Medyada Paylaşılması
“Unvanında ilgili kişinin adının geçtiği bir şirket hakkında başlatılan icra takibine ilişkin dosya içeriğinin sosyal medyada paylaşılması hakkında” Kişisel Verileri Koruma Kurulunun 10/02/2022 tarihli ve 2022/103 sayılı Karar Özeti
Karar Tarihi | : | 10/02/2022 |
Karar No | : | 2022/103 |
Konu Özeti | : | Unvanında ilgili kişinin adının geçtiği bir şirket hakkında başlatılan icra takibine ilişkin dosya içeriğinin sosyal medyada paylaşılması |
Kurum’a intikal eden şikâyet dilekçesinde özetle; bir tekstil firması (veri sorumlusu) ile yapılan alışveriş sonrasında veri sorumlusu tarafından ilgili kişinin adının geçtiği yedek parça şirketi (Şirket) hakkında icra takibi başlatıldığı, bu süreçte bir şahıs tarafından Facebook üzerinden herkese açık olan bir grupta “Şirketin aldığı maskelerin ödemesini yapmadığı, dolandırıcı olduğu, bu doğrultuda Şirket hakkında icra takibi başlatıldığı ve icraya ilişkin evrakların bu grupta paylaşılacağı” hususlarında herkese açık bir yorum yapıldığı, paylaşımı yapan şahıs adına internette yapılan araştırmalar neticesinde veri sorumlusu firmanın muhatabı olarak tanındığının tespit edildiği, bahsi geçen şahısla ilgili kişinin hiçbir ticari ilişkisi olmamasına rağmen icra dosyası içerisinde yer alan kişisel verilerinin üçüncü kişilerle paylaşılması suretiyle kişilik haklarının ihlal edildiği, veri sorumlusu firmanın ticaret sicil kaydında ismi geçmeyen ancak kendisini firma yetkilisiymiş gibi tanıtan söz konusu şahıs tarafından icra dosyası hakkında nasıl bilgi edinildiğinin anlaşılamadığı, bu hususta 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamındaki hakları uyarınca veri sorumlusuna başvuruda bulunulduğu ancak süresi içinde bir yanıt alınamadığı ifade edilerek, veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.
Şikâyet dilekçesinde yer alan hususlara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevabî yazıda özetle;
- İlgili kişinin adının geçtiği Şirketin, şikâyete konu sosyal medya paylaşımlarına ilişkin Cumhuriyet Savcılığına intikal eden şikâyette taraf olduğu, şikâyete konu tarafın şahıs olmaması tüzel kişi olması dolayısıyla ve suçun yasal unsurlarının oluşmadığı gerekçesiyle hakaret suçundan kovuşturma yapılmasına yer olmadığına karar verildiği,
- Savcılığa intikal eden şikâyete konu paylaşımları yapan şahsın o tarihlerde ilgili kişinin adının geçtiği şirketin yarı zamanlı çalışanı olduğu sonradan firmadan ayrıldığı, akabinde veri sorumlusu nezdinde çalışmaya başladığı,
- Şikâyetçi tarafın veri sorumlusu firmadan yüksek miktarda mal aldığı, bu süreçte Şirketin paylaşımları yapan şahsın müşterisi olduğu, ilgili ürünleri pazarlayan, sunan ve siparişi alanın da bu kişi olduğu, diğer bir ifade ile Şirketin bu şahsın portföyünde bulunduğu,
- Şirketin söz konusu mal alımına ilişkin ödeme yapmadığı, e-postalara ve telefonlara yanıt vermediği, Şirketle hiçbir şekilde irtibat sağlanamadığı, bunun üzerine Şirket hakkında icra takibi başlatıldığı,
- Veri sorumlusu adına açılmış sosyal medya hesaplarının bulunmadığı ve veri sorumlusunun unvanı altında paylaşım yapılmadığı,
- Bahsi geçen şahıs bu pazarlamadan çok zarar gördüğü için diğer firmaların da bu Şirketten zarar görmemesi adına üyesi olduğu bir Facebook grubunda ilgili kişinin adının geçtiği Şirket ile yaşanan durumu kısaca izah ettiği, ispat olarak dava dosyasının ön kapak görselini okunmayacak şekilde paylaştığı, ancak bu paylaşımın yayımlanmadan silindiği ve üçüncü şahısların söz konusu paylaşımı görmediği, olay sonrasında bahsi geçen şahsın gruptan çıkarılarak engellendiği ifade edilmiştir.
Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 10/02/2022 tarih ve 2022/103 sayılı kararı ile;
- Kanunun “Tanımlar” başlıklı 3’üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin kişisel verisi işlenen gerçek kişi, “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
- 95/46/AT sayılı Veri Koruma Direktifine dayalı olarak hazırlanan ve “kişisel veri kavramı”nın ele alındığı Madde 29 Veri Koruma Çalışma Grubu’nun 04.06.2007 tarihli ve 4/2007 sayılı görüşünde; tüzel kişiler hakkında bilginin gerçek kişilerle “ilişkili olması” durumunun somut olay özelinde göz önünde bulundurulması gerektiği, tüzel kişilerin unvanının gerçek kişi isimlerinden türetildiği durumda kişisel veri olup olmadığının belirli kriterlere (içerik, amaç ve sonuç kriterlerine) göre değerlendirilmesi gerektiğinin belirtildiği, Madde 29 Veri Koruma Çalışma Grubu’nun söz konusu görüşü ile örneğin, bir şirket e-postasının belirli bir çalışan tarafından kullanılmasında veya küçük bir işletmenin sahibinin davranışlarını ifade eden bilgide bu durumun söz konusu olabileceği, “içerik”, “amaç” veya “sonuç” kriterlerine göre değerlendirildiğinde, işletme veya tüzel kişi hakkında bilginin gerçek kişiyle ilişkili olması mümkünse kişisel veri olarak düşünülebileceğinin ifade edildiği, söz konusu kriterlerin kümülatif olarak bulunmasının gerekli olmadığı, kriterlerin birbirinin alternatifi olarak düşünülebileceği, söz konusu görüşe göre; aynı bilginin aynı zamanda farklı unsurlar bakımından farklı kişilerle ilişkilendirileceğinin de değerlendirildiği, örneğin bir bilgi A kişisi hakkında ise içerik kriteri bakımından A kişisiyle, B kişisine belirli bir şekilde davranılması amacıyla kullanılması durumunda amaç kriteri bakımından B kişisiyle, C kişisinin hak ve menfaatlerinde bir etkiye sahipse veya herhangi bir etkiye sahip olması muhtemelse “sonuç” kriteri bakımından C kişisiyle ilişkili olduğunun söylenebileceği,
- İlgili şirketin, yetkilisinin ismini ve soy ismini taşıdığı, somut olay özelinde şirket unvanının, Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (d) bendi uyarınca kişisel veri olup olmadığının göz önünde bulundurulması gerektiği, icra takibi evrakında bulunan tacirin unvanında ilgili kişinin isim ve soy ismi bulunsa da yapılan paylaşım ve yorumlarda tüzel kişiliğin hedeflendiği göz önünde bulundurulduğunda şirketin unvanının veya borç bilgisi, adresi, vergi kimlik numarası bilgisinin gerçek kişinin hak ve menfaatlerinde bir etkiye sahip olmadığı ya da gerçek kişiye belirli bir şekilde davranılması amacıyla kullanılmadığı kanaatiyle Kanun’da yer alan kişisel veri tanımını karşılamadığı,
- Kanun’un 2’nci maddesinin (1) numaralı fıkrası uyarınca, Kanun hükümlerinin kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanacağı,
- Somut olay özelinde, veri sorumlusunun çalışanı tarafından icra takip talebi evrakının fotoğraflanması suretiyle elde edilerek sosyal medya platformu aracılığıyla paylaşılması ile Şirket’e ait bazı bilgileri içeren yorumların sosyal medya platformunda paylaşılmasında, kişisel veri işlenmemesi sebebiyle konunun Kanun’un 2’nci maddesinin (1) numaralı fıkrası uyarınca Kanun kapsamında olmadığı değerlendirmelerinden hareketle;
- Her ne kadar şikâyete konu edilen Şirket adında ilgili kişinin ad ve soyadı geçse de, sosyal medyada yapılan paylaşımlarda tüzel kişiliğin hedeflendiği anlaşıldığından söz konusu veri gerçek kişiye değil tüzel kişiliğe ait veri olarak değerlendirildiğinden şikâyet konusunun Kanun kapsamında olmadığı kanaatine varılması nedeniyle yapılacak bir işlem olmadığına karar verilmiştir.