Kişisel Verileri Koruma Kurulu’nun 20/05/2020 tarihli ve 2020/404 sayılı kararı

İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi” hakkında Kişisel Verileri Koruma Kurulu’nun 20/05/2020 tarihli kararında veri sorumlusuna toplamda 250.000,00 TL ceza uyguladı.

Yaşanan Olayda;

  • İlgili kişinin çalışmakta olduğu şirketten; KVKK’nın 11 inci maddesi kapsamındaki haklarına istinaden bilgi talebinde bulunduğu fakat söz konusu talebine yeterli cevap alamadığı, ilgili kişiye genel nitelikli bir bilgilendirme yapıldığı, verilerin işlenme ve saklanma süreçlerine ilişkin bilgi verilmediği,
  • Veri sorumlusunun bordro bilgilerini, disiplin süreçlerine ilişkin bilgileri, tüm özlük bilgilerini, performans değerlendirme süreçlerini ve masraf bilgilerini elektronik ortamda tuttuğu ancak bu programa kimlerin erişiminin olduğu, yetki matrisi olup olmadığı konusunda ilgili kişiye bilgilendirme yapmadığı,
  • Veri sorumlusu tarafından; çalışanlardan elektronik ortamda, çok geniş kapsamlı KVKK Çalışma Muvafakatnamesi alındığı fakat çalışanlara aydınlatma yapılmadığı, ilgili kişinin bu muvafakatnameye onay vermek zorunda bırakıldığı,
  • Çalışanların açık rızaları alınmadan ve çalışanlara aydınlatma yapılmadan, parmak izinin alındığı, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı ve yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında ilgili kişiye bilgi verilmediği anlaşılmış olup ilgili kişi tarafından hukuka aykırı uygulamaları nedeniyle veri sorumlusu hakkında gerekli yaptırımların uygulanması talep edilmiştir.

Şikâyet üzerine Kurul tarafından yapılan incelemede;

  • Veri sorumlusu tarafından “Kişisel Verilerin İşlenmesine İlişkin Çalışan Muvafakatnamesi”nin hem aydınlatma metni hem de açık rıza metni olarak düzenlendiği, bu nedenle aydınlatmanın usulüne uygun yapılmadığı,
  • Veri sorumlusu tarafından, ilgili kişilerin açık rızaları alınmaksızın kişisel verilerin ve özel nitelikli kişisel verilerin işlendiği, veri sorumlusunun işlediği özel nitelikli kişisel veriler bakımından Kanunun 4 üncü maddesinde yer alan genel ilkelerden “ölçülülük” ilkesine aykırı hareket ettiği,
  • Veri sorumlusunun kişisel verileri ve özel nitelikli kişisel verileri bulut sistemde depolaması nedeniyle yurtiçi ve /veya yurtdışına veri aktardığı fakat bu konuda çalışanların açık rızasını almadığı tespit edilmiştir.

Sonuç olarak, Kişisel Verileri Koruma Kurulu tarafından veri sorumlusuna;

  • Aydınlatmayı usulüne uygun yapmaması nedeniyle 50.000,00 TL,
  • Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket etmesi nedeniyle de 200.000,00 TL idari para cezası uygulanmasına karar verilmiştir.