20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti (İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi)
“İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi” hakkında Kişisel Verileri Koruma Kurulunun 20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti
Kişisel Verileri Koruma Kurulu,
- Aydınlatma yükümlülüğünün gerek açık rıza alınacağı durumlarda gerek Kanundaki diğer kişisel veri işleme şartlarına dayanılarak gerçekleştirilen işleme faaliyetlerinde yerine getirilmesi gereken bir yükümlülük olduğu, bunun yerine getirilip getirilmediği konusundaki ispat yükümlülüğünün veri sorumlusunda olduğu,
- Olayda aydınlatma ve açık rıza yükümlülüklerinin aynı metinde düzenlendiğinden sebeple aydınlatma yükümlülüğünün Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e uygun yapılmadığı ayrıca aydınlatma metninde veri sorumlusunun kimliğine, kişisel verilerin hangi amaçlarla işlendiğine, kişisel verilerin kimlere ve hangi amaçlarla aktarılabileceğine, elde edilecek kişisel verilerin toplanma yöntemlerine, işlemenin hukuki sebeplerine ve ilgili kişinin Kanunun 11 inci maddesindeki haklarına aydınlatma metninde yer verilmesi gerektiği, ayrıca hangi konuya ilişkin hangi verilerin alındığının muğlak olmayan net ifadelerle belirtilmesi gerektiği, bu kapsamda toplanan veri kategorilerinin yazılması uygun olmakla birlikte “… bunlarla sınırlı olmaksızın” ifadesinin muğlaklık içerdiği, ayrıca hangi veri kategorilerinin hangi amaç için kullanıldığının belirtilmediği, kimlere aktarımın yapılacağının da muğlak bırakılmaması gerektiği,
- açık rızanın özgür iradeye dayalı olarak verilmesi gerektiği tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerektiği, ayrıca iş yerine girişlerde biyometrik veri olan parmak izi alınmasının işlendikleri amaçla bağlantılı ve ölçülü olma ilkesi ile bağdaşmadığı, bunun yerine RFID etiketi, SMS doğrulaması veya manyetik kart gibi bir sistemin kullanılabileceği, ayrıca serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanunun 9 uncu maddesine uygun hareket edilmesi gerektiği,
kanaatlerine varmıştır.
Kararın tamamını okumak için buraya tıklayınız.