Avukat Öngün: Eşinize isimsiz çiçek gönderenin ismini şirketten talep etmek kanuna aykırı değil

Kişisel Verileri Koruma Kanunu (KVKK) yürürlüğe girdikten sonra bu kanunun nasıl uygulanacağı ve özellikle de gri alanları çok tartışıldı. Kişisel verileri koruma konusunda uzman hukukçulardan avukat Dr. Çiğdem Ayözger Öngün, Yeni Şeyler Rehberi programında örnek vakalar ve sorulardan yola çıkarak kafalardaki soru işaretlerine açıklık getirdi:

Merkezi Avrupa'da olan bir firma Türkiye ofisi için işe alım onayını merkezdeki yönetimden almak durumunda. Bu nedenle işe alımlarda pozisyona uygun bulunan adayların özgeçmişleri Avrupa'daki merkezle paylaşılıyor. Bu durum KVKK'ya göre yurt dışına aktarım mıdır?

"KVKK'da aktarımın yöntemleri sayılmamış. Bunu maille de yapabilirsiniz, telefonla da yapabilirsiniz. CV'leri kargolayabilirsiniz de. Tereddüt olabilecek şey şu: Aktarımın hukuka uygun olması için meşru menfaatinin bulunması gibi hallerde kişinin rızasının alınması gerekmiyor. Diyelim ki siz uluslararası bir markaya başvuruyorsunuz. Siz biliyorsunuz ki sizin bilgileriniz o ülkeye gönderilmek zorunda. Ama siz yerli ve milli bir şirkete başvuruyorsanız orada böyle bir beklentiniz olmayacak. Onlar bilgilerinizi yurt dışına gönderiyorsa sizi bilgilendirmek zorundalar."

Bir şirketin yurt dışında hiçbir faaliyeti bulunmuyor. Bu nedenle yurt dışına kişisel veri aktarımı yapmıyor. Fakat şirket sunucu hizmetini yurt dışındaki bir firmadan alıyor. Bu durum KVKK kapsamında yurt dışına aktarım mıdır?

"Bulut hizmetlerinin türleri var. Kamuya açık bulutlar var ‘public cloud' adında. Ya da özel bulut hizmetleri var ‘private cloud' adında. Bulut dediğimizde tek bir şeyden bahsetmiyoruz. Bu hizmeti alırken bütün anahtar sizde midir bunu paylaşımlı mı kullanıyorsunuz, içeri girildiğinde nerelere kadar erişim var bunların tartışılması gerekiyor. Henüz kurum bu konuda tam bir düzenleme yapılmadı. AB'de bu tartışıldı ve kamuya açık bir bulutsa bu transfer yurt dışına taşınma sayılır deniyor. Ama özel bir bulutsa, benim dosyaları dükkanımın içinde tutmamdan çok da farkı kalmıyor."

Bir şirketin Türkiye'de birçok bağlı ortaklığı bulunuyor. Bu şirketlerin tamamı aynı pazarlama veri tabanını kullanıyor. Aynı şirketler grubuna bağlı olduğu için bu şirket KVKK kapsamında üçüncü kişilere veri aktarımı yapılmış sayılır mı?

"Bazen bir holding ve altındaki şirketler oluyor, bir aile bir sektörde başlayıp diğerlerine geçmiş oluyor. Bu datayı bir şirket için elde edip diğerinde kullanmak istiyor. Kurum bu kapsamda bir karar yayınladı. Özgeçmişler için yayınladı ama pazarlama için de genişletebiliriz. Bir şirket için aldığınız veriyi diğeri için kullanamazsın dedi. Ama destek veren ekipler tek elden yönetilirken bu verilerin diğerleriyle paylaşılması mümkün. Bir ilan çıktınız enerji şirketi olarak. Size gelen CV'ler holdinge gidiyor. Sizde böyle bir departman yoksa tabi ki paylaşabilirsiniz. Pazarlamayı tek bir altyapı üstünden kurguluyorsanız veriyi diğer şirkette kullanmak için kişilerden açık rıza almanız gerekiyor. Karasal hizmet aldığımız bir şirket bize mobil hizmet satmak için bizim verilerimizi kullanamaz. Sadece karasal hizmet için bizimle temas kurabilir."

Bir şirketin KVKK yürürlüğe girmeden önce topladığı kişisel veriler bulunuyor. Fakat şirket bu verileri hiçbir şekilde kullanmıyor. İhtiyaç duyulması ihtimaline karşı güvenli bir şekilde saklıyor. Şirketin bu veriler bakımından KVKK kapsamında bir sorumluluğu bulunur mu?

"Kanunun birkaç ilkesi var: Örneğin minimum veri toplama ilkesi. İhtiyacınız olmayan veri toplamamalısınız diyor kanun. Şimdilik dursun yarın kullanırız denen her veri minimum veri toplama ilkesine aykırılık taşıyor. Bu verilerin güncel olması gibi bir yükümlülük de var. Sizin tuttuğunuz güncel olmayan her veri için de yükümlülük altına giriyorsunuz."

Tehlikeli ve delici aletlerin olduğu bir işyerinde çalışıyorum. İş arkadaşlarımdan birinin AIDS olduğunu bilgisayar ekranına yanlışlıkla bakarken öğrendim. İşverenime bildirmek zorunda mıyım?

"Burada yarışan haklar var. Kişisel veriler korunmalı ama kamu sağlığı ve güvenliği gibi anayasada korunan haklar var. Burada o hakların hangisi olduğuna bakmak gerekir. Bu bilginin nasıl elde edildiği de önemli. Bu bilgiler hukuki olarak elde ettiyseniz sorun yok. Ama hukuka aykırı elde ettiyseniz o zaman sıkıntı çıkar. Eğer siz delici kesici aletler kullanıyorsanız o ayrı, ama siz kağıt kalemle uğrayan gazeteciyseniz durum yine farklı. Kamu sağlığını tehdit edecek bir bilgiden haberdarsanız bunu iş yerindeki ilgililere bildirmenizde sorun yok."

İş yemeğinde iken toplu fotoğraf çektirdik, arkadaşım sosyal medyada paylaşmış. Fotoğrafta arkada tesadüfen eski kız arkadaşımda varmış, beni arayarak bunu yapmaya hakkım olmadığını ve hakkımda KVKK kapsamında suç duyurusunda bulunacağını söyledi. Bu konuda nasıl hareket etmeliyim?

"Bu bir kamuya açık mekanda fotoğraf çekimi. Orada çekilen fotonun niteliğine bakmak gerekir. Biz hep birlikte topluluktayken fotoğraf çekmek için herkesin rızasının olması gerekir. Benim rızam yok ise benim fotoğrafımı paylaşmamanız gerekir. O topluluktaki diğer kişilerin rızasının olacağından emin değilseniz fotoğraf paylaşmayın. O fotoğrafın arkasında başka bir kişi gözükmüşse o kişi benim fotoğrafımı çekmişsiniz iddiasında bulunamaz. Kamuya açık alanda fotoğraf çektirirken aman bu kareye kimse girmesin diyemeyiz. Ama yan masada oturan kişinin resmini çekip yayınlarsak orada sorun çıkar."

Bugün adıma işyerime isimsiz bir çiçek gönderilmiş. Evli olduğum için eşim bu durumdan çok rahatsız oldu. Çiçek firmasını arayıp kimin gönderdiğini öğrenebilir miyim? Çiçek firması bana bu bilgiyi vermek zorunda mı?

"Burada kişisel verilerin korunması gerekiyor elbette. Burada yarışan sorumluluklar ve haklar var. Kanunun şu maddesi gereğince diye çözümlemek mümkün değil. Bizim kargo şirketleri veya çiçekçi gibi kurumlara tavsiyemiz aracılık faaliyetinde bulunuyorsunuz ama iki kişinin kişisel verileri var. Bunlar yarışan haklar. Ben bu işin aracılığını yapıyorum bunları vermem diyemezsiniz. Burada yapılması gereken çiçeği gönderen kişiye gönderdiği kişinin adını ve adresini hukuka uygun olarak bildiğinin teyidini alması lazım. Ben böyle bir sorunla karşılaştığımda senin bu gönderimini gizli yapmıyorum demesi lazım."