Geçtiğimiz hafta bu köşede, Kişisel Verilerin Korunması Kanunu kapsamında Kişisel Verileri Koruma Kurulu tarafından verilen en güncel kararlardan bazılarını derlemiştik. Bu derlediğimiz kararlar, bir aykırılık görülen ve bu aykırılığın da ceza ile yaptırıma uğratıldığı kararlardı. Bu haftaki köşemizde, geçen haftanın aksine, ceza verilmesine gerek bulunmadığı yönündeki bazı kararları inceleyelim. Tekrar, bu kararların detaylı olduğunu, herhangi bir sonuca varmadan önce kararın tamamının, iddia-cevapların, hukuki gerekçelerin okunması gerektiğini de belirtelim.
İlk karar, borç nedeniyle borçluların aranıp mesaj atılması ile ilgili. Bir hukuk bürosu çalışanı, büronun müvekkili olan şirketin bir borçlusunu, borcu nedeniyle, telefonla arıyor. Ayrıca beş kez mesaj gönderiyor. Telefonla aramadan önce aydınlatma yükümlülüğünün yerine getirilmediği, kişiye sık mesaj gönderilmesi ve hukuka aykırı elde edilen veriler ile kişinin kimlik ve iletişim bilgilerinin edinildiği iddialarıyla şikayet ediliyor. Kurul bir hakkın yerine getirilmesi için aslında ayda yalnızca bir kez mesaj attığı ve bunun dürüstlük kuralına uygun olduğu bulgusuyla, aydınlatma yükümlülüğü konusunda ise başvurucunun veri sorumlusuna başvurularında yeterli bilgi bulunmadığı nedeniyle, ve hukuka aykırı yollarla elde edilen bilgilerin kullanıldığı iddiasında ise iddiayı tevsik edici herhangi bir bilgi bulunmadığı gerekçeleriyle, hukuk bürosuna ceza verilmemesi gerektiğine karar veriyor. Burada önemli olan fikrimce şu; kurula şikayet yapılmadan önce veri sorumlusu olan şirkete başvuru ve bu başvurunun içeriği, sonradan kurulun vereceği kararda oldukça önemli. Ayrıca soyut olup da altında tevsik edici bilgi-belge bulunmayan iddialar, sonuca pek gitmiyor.
İnceleyeceğimiz diğer karar ise oldukça uzun ve detaylı. Pazarlama bölümünde çalışan personel, iddiaya göre, şirketle ilgili gizli belgeleri şirket e-postasından şahsi e-postasına gönderiyor, buna ilave olarak bir çalışan ile olan telefon görüşmesini izinsiz kaydedip bu kaydı yine aynı şirket e-posta adresinden kendi şahsi adresine gönderiyor. Denetimde bu hususlar tespit ediliyor ve çalışan ile yollar ayrılıyor. Ardından, şirketin kendisine atadığı kurumsal e-posta adresindeki içeriklerin şirket tarafından izlendiği ve buna bağlı olaylarla ilgili hukuka aykırılıklar olduğu iddialarıyla şirketi şikayet ediyor. Kurulun olayla ilgili vardığı sonuçlar arasında şunlar öne çıkıyor: Toplu bir şekilde, iş sözleşmesi ekinde imzalatılan veri koruma hukukunu ilgilendiren evrak takımının “yanıltıcı şekilde alelacele imzalatıldığı” iddiası soyut bir iddia olup, bunu destekleyici somut emareler yoksa, bu iddiayı Kurul dinlememiş. Şirket, e-postaların yalnızca iş için kullanılacağı yönünde taahhütname imzalatmış, ve bununla ilgili aydınlatma yükümlülüğünü de yerine getirmişse; o zaman Kurul, veri sorumlusu olan şirketin hem de ticari bilgilerinin transferinin izlenmesini haklı menfaat kapsamında değerlendirmiş, ve zira burada Türk Borçlar Kanunu 396 ve İş Kanunu 25. Maddelere atıf yapmış. Denetim yapılmasını da ölçülülük ilkesine uygun olarak değerlendirmiş. Sonuç olarak, bu olayda veri sorumlusu olan şirketin veri işleme hareketlerini kanuna uygun bulup, şikayetçinin tüm şikayetlerini reddetmiş.