Karar Konusu: Kişisel Bilgilerin Üçüncü Taraflara Açıklanması
Karar Tarihi : 2016
Karar Özeti : Şikayetin konusunu; birbirleriyle evli olan iki kamu görevlisinin kişisel verilerinin PeoplePoint** çalışanı tarafından hukuka aykırı bir şekilde ifşa edilmesi oluşturmaktadır. Şikayetçi, Kasım 2015’te, yıllık izin başvurusunda bulunduktan sonra, bu talebi hastalık iznine değiştirmek için başvuruda bulunduğunu belirtmiştir. PeoplePoint memuru ise, şikayetçinin bu talebinin içeriğini (şikayetçinin) bağlı bulunduğu kamu erkinin yöneticisine e-posta ile göndermiştir. Bu gönderi üzerine ‘‘ofis dışındadır’’ yanıtı alındığında ise memur, şikayetçinin bu hususta denetleyici yetkisi olmayan iş arkadaşına e-posta göndermiştir. E-Posta içeriğinde, şikayetçinin eşinin (şikayetçinin eşi de kamu görevlisidir) kişisel verilerinin de (rızası olmadan) yer aldığı saptanmıştır.
Bu konuyla ilgili daha fazla araştırma yapılması üzerine, PeoplePoint yetkilisinin, şikâyetçinin eşini –yetkisi olmaksızın- bilgilendirdiği, ortaya çıkmıştır.
PeoplePoint bu şikâyetle ilgili olarak, ihlalden haberdar olduktan sonra, söz konusu ihlali telafi ettiğini ve verilerin tüm taraflar tarafından silindiğini doğrulamıştır. Ayrıca, PeoplePoint tarafından, ilgili yetkilinin veri gizliliği konusundaki farkındalığını iyileştirmek için gerekli tedbirlerin alındığı saptanmıştır. Uzlaşma önerisi şikayetçi tarafından reddedilmiştir.
Komisyon; somut olayda PeoplePoint’in bir veri sorumlusu (controller) olduğunu, ihlale konu eylemi gerçekleştiren kişinin veri işleyen olduğunu, veri sorumlusunun ise veri işleyenlerini kişisel verilerin güvenliği ve gizliliği açısından özenli hareket ederek seçmesi gerektiğini belirtmiştir.
Sonuç olarak somut olay; rızaya dayalı veri işlemede, veri işleyenlere, veri işlemenin yalnızca ilgili kişinin rızası alınarak yapılması gerektiğini hatırlatmaktadır. Ayrıca kişisel verilerle ilgili eylemler, her ne kadar bilgisiz personellerce zararsız gibi görünse de, ilgili kişi bakımından çok ciddi tehlikelere yol açabilmektedir. Veri sorumlusu ve veri işleyenin; kişisel veri güvenliği ihlali açısından çalışanın bilgi ve farkındalık eksikliğinin arkasına sığınması kabul edilebilir değildir. Personelin farkındalığının oluşturulması, bilgilendirilmesi, denetlenmesi ve ilgili kişi açısından doğacak risklerin en aza indirgenmesi veri sorumlusu ve veri işleyenlerin sorumluluğundadır.
** Türkiye’de SGK’ya benzer bir yapı. Kamu hizmeti çalışanlarına yönelik İnsan Kaynakları ve Emeklilik İdare Merkezi.
Av. Umut Emre Yağlıdere[1]
[1] İstanbul Barosu, Sicil No: 56126.
Bir cevap yazın