Davalarda ispat aracı olarak kullanılmak üzere delil niteliğindeki bilgi ve belgelerde yer alan kişisel verilerin mahkeme bilgisine sunulabilmesi adına 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) çerçevesinde değerlendirilmesi ve sunulabilmesi için belirlenebilecek kriterlere ilişkin bilgi notumuzdan (“Bilgi Notu”) ibarettir.
İşbu Bilgi Notu hazırlanırken 6698 sayılı Kişisel Verilerin Korunması Kanunu, Kişisel Verileri Koruma Kurulu (“Kurul”) kararları ve ilgili yerel mevzuat düzenlemeleri dikkate alınmıştır. Zira, görülmekte olan davalarda sunulabilecek delillerde yer alan kişisel verilerin kapsam ve sınırına dair doğrudan bir düzenleme olmamakla birlikte söz konusu mevzuat ve kararlar çerçevesinde gerçekleştirilen incelemeler ışığında değerlendirme yapılmıştır.
Konunun özüne değinmeden evvel kişisel verilerin korunması mevzuatı uyarınca veri sorumluları tarafından yerine getirilmesi zorunlu yükümlülükler doğrultusunda; (i) dava dosyasına delil sunma ve (ii) mahkeme tarafından bilginin talep edilmesi hakkında iki temel ayrım üzerinden kişisel veriyi haiz belgenin mahkeme bilgisine sunulabilme sınırları ele alınmaktadır.
İşbu Bilgi Notumuzun devamında detaylarına değinileceği üzere yapılan değerlendirmeler kapsamında; söz konusu bir davada taraf olunduğu takdirde, kişisel veriyi haiz bir belgeyi delil amacı ile mahkeme bilgisine sunmak adına birtakım kriterlerin (aydınlatma metni, hukuki işleme sebebi, açık rıza beyanı, minimum veri paylaşımı ve maskeleme yönteminin sağlanabilirliği vb.) kontrolünün yapılması ve alınabilecek önlemlerin sağlanması akabinde sunulabilecektir.
Kişisel veriyi haiz bir belge ve/veya bilginin mahkeme bilgisine sunulması kişisel verinin aktarılması anlamına gelmektedir. Bu kapsamda, Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8. maddesi çerçevesinde;
(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler;
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,
belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.
hükmü kapsamında kişisel verilerin aktarımının nasıl ve hangi koşullarda gerçekleştirilebileceği değerlendirilmelidir.
Hal böyle olunca, hukuka uygun bir şekilde dava dosyasına sunulabilmesi için her bir dava özelinde somut olayın özellikleri göz önünde bulundurulmak suretiyle değerlendirilmesi gündeme gelecektir. Özellikle işbu değerlendirme yapılır iken, ihtilaf konusu başka bir delil ile ispat edilebilir ise kişisel verinin bulunduğu belgenin paylaşılmasından kaçınılması uygun olacaktır.
Detaylarına değinileceği üzere; mahkemeye delil sunulmadan evvel kişisel verilerin korunması mevzuatı çerçevesinde aşağıdaki hususlara dikkat edilerek uygunluk/elverişlilik denetimi sağlanabilecektir:
1. Veri sorumlusu nezdinde bulunan kişisel veri hususunda ilgili kişinin aydınlatılma süreçlerinin eksiksiz sağlanmış olması,
2. Hukuki işleme sebebi uygunluğunun somut olay nezdinde kontrol edilmesi,
3. Açık rızaya tabi bir kişisel veri söz konusu ise açık rızanın mevcut olup olmadığının kontrolü,
4. Sunulacak delil gözetildiğinde minimum veri ile sunulabilirliğinin ve bu kapsamda veri paylaşımının elverişliliğinin kontrolü,
5. İlgili belge/delilin maskeleme yöntemleri vasıtası ile sunulabilirliği
kriterleri göz önünde bulundurulmalıdır.
Kanun’un “Veri Sorumlusunun Aydınlatma Yükümlülüğü” başlıklı 10. maddesi gereği;
i. Kişisel verilerin hangi amaçla işleneceği,
ii. İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği,
iii. Kişisel veri toplamanın yöntemi ve hukuki sebebi
hususlarında veri sorumlusu ilgili kişiyi bilgilendirmekle yükümlüdür. Bu itibarla, mahkemeye sunulması planlanan kişisel veriyi haiz delil için öncelikli olarak ilgili kişinin yukarıdaki kapsamda aydınlatılmış olması gerekmekle birlikte söz konusu verinin işlenme amacı ile hukuki işleme sebebinin söz konusu ihtilaf konusunda sunulabilecek nitelikte bir veri olup olmadığının değerlendirilmesi ortaya konmalıdır.
Örneğin; 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun kapsamında internet ortamında elde edilen ve saklanması ile yükümlü olunan veriler (log kayıtları vb.) hususunda suç oluşturan içerikler suçla mücadele hususlarında kullanılabilmesine dair ilgili kişiye yapılan aydınlatılma yapılmış ise internet sitesi sahibi tarafından söz konusu kayıtların başka bir ihtilaf konusu kapsamında ispat amacı ile kullanması kişisel verilerin korunması mevzuatı çerçevesinde ilgili verinin hukuki işleme sebebi dışına çıkarak işlemesi ve aktarılması neticesinde hukuka aykırılık teşkil edecektir.
Yukarıdaki örnekle birlikte delil niteliğinde kullanılacak verinin uygunluğu için ilgili kişiye sunulan aydınlatma metninin içeriğinin değerlendirilmesi (işleme amacı ile hukuki işleme sebebi) önem arz etmekle birlikte verinin ispat aracı olarak kullanılması için -Kanun’un “Genel İlkeler” başlıklı 4. maddesi uyarınca kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi gereği başta olmak üzere- işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasının ötesine geçip geçmediğinin kontrolünün sağlanması gerekecektir. Bu minvalde, elverişlilik unsuru göz önünde bulundurulmak suretiyle hukuki işleme sebebi dışına çıkan hususlarda ispat aracı olarak kişisel verilerin kullanılmasından kaçınılmalıdır.
Yine aynı örnek üzerinden işçi-işveren arasında akdedilen iş sözleşmesi kapsamında değerlendirme yapmak gerekir ise; Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5/2(e) “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” ve 5/2 (f) “ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hükümleri gereği iş hukukundan doğan davalarda çalışana ait dijital verilerin delil olarak işveren tarafından dosyaya sunulabilmesi için çalışanlara yönelik sağlanan aydınlatma metinlerinde ilgili verilerin ispat amacı ile kullanılabileceğinin belirtilmesi önem arz etmektedir.
Aşağıda değinilecek diğer kontrol kriterleri ile birlikte yukarıda açıklandığı üzere; öncelikli olarak ilgili kişinin Kanun kapsamında veri sorumlusu tarafından gerçekleştirilen aydınlatılmada kişisel verilerin işlenme ve aktarım amaçlarının ihtilaf konusu olabilecek konular gözetilerek ortaya konması gerekecektir. Somut olay değerlendirildiğine, temel ilkelerle birlikte ilgili aydınlatılmada kişisel verinin hukuki işleme sebebine uygunluğu bulunmamakta ise delil olarak mahkeme bilgisine sunulması hukuka aykırılık teşkil ettiği Kurul tarafından değerlendirilebilecektir.
Kanun’un 5/2. maddesinde sayılan şartlar[1] hariç olmak üzere kişilerin ırkı, ceza mahkumiyeti, sağlık verisi gibi özel nitelikli kişisel veriler ile yurt dışına[2] aktarılacak kişisel verilerin işlenmesi gibi hususlarda ilgili kişinin açık rızası gerekmektedir.
Her ne kadar ilgili kişi sınırları belirlenmiş aydınlatma metni çerçevesinde bilgilendirilmiş ve açık rızaya tabi kişisel veri işlenmesi hususunda onayı alınmış olmakta ise de açık rıza geri alınabilmektedir.
Kişisel Verileri Koruma Kurumu tarafından yayımlanan “Açık Rıza Alırken Dikkat Edilecek Hususlar”[3] başlıklı düzenlemesinde belirtildiği üzere;
“Açık rıza vermek, kişiye sıkı sıkıya bağlı bir hak olduğundan, verilen açık rıza geri alınabilir. Bu bağlamda kişisel verilerin geleceğini belirleme hakkı ilgili kişiye ait olduğundan, kişi dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabilir.”
Bu bağlamda, ilgili kişi tarafından gerçekleştirilen geri alma beyanı veri sorumlusuna ulaştığı andan itibaren sonuçlarını doğuracağından artık söz konusu veri kullanılamayacak ve mahkemeye delil olarak da sunulamayacaktır.
Açık rızaya ilişkin açıklamalarımız ve aydınlatma metninde yer alan amaç ile hukuki işleme sebepleri birlikte değerlendirildiğinde; bir ihtilaf halinde ilgili kişiye ait kişisel verinin gerekli aydınlatılmanın yapılması ile sınırlarının kontrolünün sağlanması ile birlikte açık rızaya tabi bir veri ise;
i. açık rızanın alınıp alınmadığı
ii. rıza alınmış ise söz konusu rızanın ilgili kişi tarafından geri alınıp alınmadığının
kontrolünün ayrıca sağlanması gerekmektedir.
İlgili hususlara ilişkin olarak mahkemeye sunulan deliller için:
“Kuruma intikal eden şikayette; ilgili kişinin veri sorumlusu kargo şirketi nezdinde çalıştığı, iş akdinin sonlandırılmasından sonra açtığı işe iade davasının görülmesi sırasında veri sorumlusunun ilgili kişiye ait kamera görüntülerini mahkemeye sunduğu, kamera görüntülerinin 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında kişisel veri niteliğini haiz olduğu ve Kanunun 5 inci maddesi uyarınca kişisel verilerin ilgili kişinin açık rızası olmadan işlenemeyeceği, bu hususa ilişkin olarak ilgili kişinin bir açık rıza beyanının bulunmadığı, konuya yönelik olarak veri sorumlusuna yapılan başvuruya cevaben veri sorumlusu tarafından ilgili kişinin kişisel verilerinin önceden ilgili kişi tarafından imzalanmış bir bilgilendirme metni kapsamında işlendiğinin belirtilmiş olmasına rağmen kendisinin böyle bir açık rıza beyanının bulunmadığı belirtilerek veri sorumlusu kargo şirketi nezdinde Kanun kapsamında gerekli yaptırımların uygulanarak hukuka aykırı olarak elde edilen kişisel verilerin silinmesi talep edilmiştir.”
Söz konusu başvuru dikkate alınır iken Kurul tarafından aşağıdaki hususlara dikkat edilmiştir:
i. İlgili kişinin verilerinin işlenmesi hususunda Kanun’un 5. maddesinde düzenlenen kişisel veri işleme şartlarına yer verilip verilmediği[5],
ii. Kanun’un 4. maddesinde düzenlenen genel ilkeler kapsamında işlenip işlenmediği,
iii. İhtilaf sebebi ile Kanun’un 8. maddesine riayet edilerek ilgili kişisel verilerin mahkemeye sunulup sunulmadığı,
iv. İlgili kişinin açık rızasına tabi bir veri olup olmadığı,
v. Genel itibarı ile açık rızaya tabi bir veri ise de “Kanunlarda Açıkça Öngörülme” hukuki sebebinin bulunup bulunmadığı
kriterleri göz önünde bulundurulmuştur. İşbu kriterler doğrultusunda, veri sorumlusu işveren kargo şirketi tarafından ilgili kişinin açık rızası alınmasa dahi ilgili hususlar konusunda bilgilendirildiği ve Kanun’un 5/2(a) hükmü çerçevesinde “Kanunlarda açıkça öngörülmesi[6]” hukuki sebebine uygun olarak işleme yapılması sebepleri ile söz konusu şikayet ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar verilmiştir.
“İlgili kişinin iş akdinin tek taraflı feshi nedeniyle veri sorumlusu işveren hakkında açtığı işe iade davasında, dava içeriği ile ilgili olmamasına rağmen özlük dosyasında yer alan kendisine ait özel nitelikli kişisel verilerinin mahkemenin talebi olmadığı hâlde dava dosyasına sunulduğu, sağlık durumu hakkında özellikle ilgili sağlık kurumu tarafından bir tanı konulmamış olmasına rağmen sağlık raporlarında yer alan “uzman” veya “bilirkişi” gibi ifadelerin büyük harfler içine alınarak psikolojik tanı koymaya yetkili bir kurum veya kişi sıfatı ile raporların davaya konu edilmesinin kişilik haklarının ihlal edilmesine sebebiyet verdiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca veri sorumlusu hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir.”
Kurum’a intikal edilen şikayet değerlendirilir iken; yukarıda yer vermiş olduğumuz bir diğer Kurul kararında değerlendirilen kriterlerle birlikte somut olayda mahkeme tarafından işveren veri sorumlusuna hitaben yazılan müzekkere ile ilgili kişiye ait özlük dosyasının tüm içeriğinin tasdikli bir suretinin gönderilmesinin talep edildiği göz önünde bulundurulmak sureti ile Kanun’un “İstisnalar” başlıklı 28/1(d) “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü ile 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek Dilekçeler” başlıklı 6/1(b) bendi dikkate alındığında konuya ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.
Yukarıdaki Kurul kararları işçi-işveren ilişkisi kapsamında genel itibarı ile değerlendirildiğinde; işverenin çalışanlarına ait puantajların kayıt altına alındığı Personel Devam Kontrol Sistemi (PDKS), işyeri/mağazalarda kullanılan kamera/görüntü kayıtları, çalışanlar tarafından kullanılan bilgisayarlar ve bağlanılan internet ağları, fiziksel ve elektronik ortamda alınan her türlü bilgi ve belge gibi kişisel verilerin veri sorumlusu işveren tarafından işlemenin amacı, sınırları, hukuki işleme sebeplerinin detaylarının yer verildiği aydınlatma metni ve gerekli koşullarda açık rıza beyanlarının alınması usulü; bir ihtilaf doğması halinde dava dosyasına delil olarak sunulabilmesinde büyük önem arz etmektedir.
İşbu Bilgi Notumuzun yukarıdaki sayılan unsurları ile birlikte, dava sürecinde ilgili ihtilafa ilişkin ispat aracı olarak hakkın başka bir yöntem ile ispat edilebilme imkanının olup olmadığının araştırılması ve bu kapsamda minimum veri paylaşılarak ilerlenmesi delil sunma değerlendirme kriterleri arasında yer almalıdır.
Bir diğer deyişle, Kanun’da yer alan genel ilkeler uyarınca, ölçülü, sınırlı, elverişli bir şekilde kişisel verinin aktarılabilmesinin hukuka uygun olabilmesi adına başkaca bir imkan ile işbu hakkın ispat edilememesi şartı aranmaktadır. Bu doğrultuda, başka bir araçla ispat etme yöntemi bulunmamakta ise söz konusu kişisel veriler pekâlâ mahkemeye sunulabilecektir.
Tüm bu değerlendirmeler ile birlikte mahkeme bilgisine sunulan belgeler için söz konusu davanın tarafı olup olmama bakımından değerlendirmekte fayda bulunmaktadır. Şöyle ki;
Kişisel veri paylaşma ihtiyacı doğduğunda veri sorumlusu ilgili ihtilafın tarafı ise; kriterler sağlandığı takdirde hakkın tesisi ve meşru menfaat kapsamında veri sorumlusunun ilgili veriyi delil olarak sunmasında bir sakınca doğmayacaktır, meğerki taraf olunmayan bir davada üçüncü kişilerin üstün yararı olsun. Bu noktada, her ne kadar üçüncü kişilerin üstün yararı için taraflardan birinin taraf olmayan veri sorumlusundan kişisel veri paylaşımını talep etmekte ise işbu verinin sunulması/paylaşılması hukuka uygunluk kapsamında yer almayacaktır.
Yukarıda açıklandığı üzere, taraf olunmayan bir davada kişisel veri paylaşımının sağlanabilmesi ancak mahkemenin talebi ile ilgili bilginin celbinin sağlanması adına veri sorumlusu adına müzekkere yazılması şartı kapsamında mahkeme ile paylaşılabilecektir.
Tüm bu değerlendirmelerle birlikte öncelikle, davada taraf olunsun ya da olunmasın, delil olarak mahkeme bilgisine sunulacak kişisel veriyi haiz belgedeki bilgilerin maskeleme yöntemi ile sunulması ve mahkemenin talep etmesi halinde söz konusu belgenin açık bir şekilde paylaşılabileceğinin belirtilmesinin uygun olacağı kanaatindeyiz.
Örneğin;
Veri sorumlusu olarak mahkemeye delil sunulabilmesi açısından yukarıdaki hususlara dikkat edilmesi gerekmekle birlikte davada delil sunma amacı ile veri sahibi ilgili kişi tarafından kendisine ait verilerin talep edilmesi de söz konusu olabilecektir. İşbu durum ise Kanun’un “İlgili Kişinin Hakları” başlıklı 11. ve “Veri Sorumlusuna Başvuru” başlıklı 13. maddesi kapsamında ilgili kişinin başvuru talebi olarak değerlendirilmeli ve veri sorumlusu olarak böyle bir durum ile karşı karşıya kalındığında her ne kadar veri sorumlusu ve ilgili kişi davanın tarafları olarak bulunmakta ise de söz konusu ilgili kişinin başvurusunun yerine getirilmesinde fayda görülmektedir.
Örneğin, veri sorumlusu şirket çalışanının işten ayrılması halinde çalışanın şirket nezdinde bulunan ve özlük dosyası kapsamında yer alan kişisel verilerine ilişkin bilgi talep etmesi ve akabinde işçi-işveren ilişkisi kapsamında bir dava ikame etmesi hali örnek teşkil edebilecektir. İlgili konu ile ilgili;
Kişisel Verileri Koruma Kurulu’nun 28/05/2020 tarihli ve 2020/435 sayılı kararı[8] şöyle ki;
Bir kargo firmasında denetim uzmanı olarak görev yaparken iş akdinin haksız, geçersiz ve tazminatsız olarak feshedildiği; tehdit, baskı ve türlü vaatlerde bulunularak tarafından ileri tarihli istifa dilekçesinin alınması sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretini 6698 sayılı Kişisel Verilerin Korunması Kanununun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu kargo firmasından talep etmesine rağmen, tarafına 30 gün içerisinde herhangi bir cevap verilmediği ifade edilerek Kanuna aykırı uygulaması nedeniyle veri sorumlusu hakkında yaptırım uygulanması ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi amacıyla veri sorumlusunun talimatlandırılması talep edilmiştir.
İlgili kararda bahsi geçen somut olay için veri sorumlusu tarafından, ilgili kişi başvurusunun Kanun’da düzenlenen haklara ilişkin olmadığı ve Kanun’da düzenlenmeyen bir konuyu içerir belge talebi olduğu iddia edilmiş olup ayrıca başvuru yanıt süresi içerisinde çalışan ilgili kişi tarafından işveren veri sorumlusuna karşı dava ikame edilmesi sebepleri ile ilgili kişi başvurusu yanıtsız bırakılmıştır. Bu kapsamda ise her halükârda söz konusu bilgi talebinin Kanun çerçevesinde ilgili kişinin başvurusu olarak nitelendirilmesi sebebi ile Kurul tarafından ilgili kişiye ait kişisel veri niteliğindeki bilgi ve belgelerin ilgili kişiye verilmesi konusunda veri sorumlusunun talimatlandırılmasına karar verilmiştir.
Kanun ve Kurul kararları değerlendirilmek üzere; mahkemeye ispat aracı olarak kişisel veriyi haiz bir delili sunabilmek için aşağıdaki kriterlerin sağlanmasına ilişkin denetim yapılması sonucunda sunulmasının hukuka uygun olarak kabul edilebilecektir. Şöyle ki;
1. İlgili kişinin aydınlatılma süreçlerinin eksiksiz sağlanmış olması,
2. Aydınlatmada yer alan hukuki işleme sebebinin ihtilaf konusu ile örtüşmesi,
3. Açık rızaya tabi bir kişisel veri söz konusu ise açık rızanın mevcut olup olmadığı ve açık rızanın geri alınıp alınmadığının kontrolü,
4. Delilin minimum veri ile sunulması ve bu kapsamda veri paylaşımının elverişliliğinin kontrolü,
5. İlgili belge/delilin maskeleme yöntemleri vasıtası ile sunulması
Tüm bu kriterler sağlanması akabinde tarafı olunan davada ilgili veriyi mahkeme ile paylaşmakta sakınca bulunmayacağının değerlendirilmesinin yanı sıra davada taraf olarak bulunulmaması halinde dava tarafları ile verilerin paylaşılmaması önerilmekte meğerki mahkeme tarafından doğrudan veri sorumlusundan talep edilmemiş olsun.
Kriterlerin sağlanmaması halinde veya üçüncü kişinin üstün yararı kapsamında taraf olunmayan davada sunulan/paylaşılan kişisel veriyi haiz belgelerde Kanun’un “Kabahatler” başlıklı 18. maddesi uyarınca 2022 yılı için; aydınlatma yükümlülüğünü yerine getirilmemesi sebebi ile 13.391-TL ile 267.883-TL ve veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi sebebi ile 40.179-TL ile 2.678.813-TL idari para cezası riski ile karşı karşıya kalınabilecektir.
Av. Beste Güneş Tımaç
Özay Hukuk Bürosu
[1] Kanun’un 5/2. maddesi:
(2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.
[2] Kanun’un “Kişisel Verilerin Yurt Dışına Aktarılması” 9. maddesi uyarınca;
yöntemleri ile kişisel veriler yurt dışına aktarılabilmektedir. Nitekim, yeterli korumaya sahip ülkelerin ilan edilmemesi ile taahhüt başvurusu süreçlerinin uzun süreyi alması gibi sebepler doğrultusunda ülkemiz mevzuatı gereği yurt dışına aktarılan kişisel veriler hususunda ilgili kişinin açık rızası alınması yöntemi ile ilerlenmektedir.
[3]https://www.kvkk.gov.tr/Icerik/2037/Acik-Riza-Alirken-Dikkat-Edilecek-Hususlar#:~:text=A%C3%A7%C4%B1k%20r%C4%B1za%20vermek%2C%20ki%C5%9Fiye%20s%C4%B1k%C4%B1,oldu%C4%9Fu%20a%C3%A7%C4%B1k%20r%C4%B1zas%C4%B1n%C4%B1%20geri%20alabilir.
[4] “İlgili kişinin bir kargo şirketine karşı açtığı işe iade davasında, kişisel verisi olan kamera görüntülerinin kargo şirketi tarafından mahkemeye sunulması” hakkında Kişisel Verileri Koruma Kurulunun 25/06/2020 tarihli ve 2020/494 sayılı Karar Özeti: https://www.kvkk.gov.tr/Icerik/6925/2020-494
[5] 5. maddeye uygunluk değerlendirmesi: “…kişisel veriler hakkında bilgilendirme metni gereğince aktarma merkezinde kamera kaydı alındığına ilişkin olarak ilgili kişiye bilgilendirme yapıldığı, ilgili kişinin imzaladığı bu aydınlatma bildirimine göre veri sorumlusunca kamera kayıtlarının hukuken geçerli sebeplere dayanılarak işlendiği…”
[6] Bilgi Teknolojileri ve İletişim Kurulunun 2016/DK – YED/517 sayılı kararı ile onaylanan “Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar” düzenlemesinin “Posta Gönderilerinin Görüntüleme Cihazları İle Kontrolü” başlıklı 6/2.maddesi uyarınca “Hizmet sağlayıcılarının posta gönderilerini kabul merkezlerinde kamera sistemi kurularak kayıtlar, gerektiğinde ilgili mercilere sunulmak üzere en az bir (1) ay süreyle saklanır.” hükmü haizdir.
[7] “Veri sorumlusu işveren tarafından, iş sözleşmesi tek taraflı olarak feshedilen ve işe iade davası açan ilgili kişiye ait özlük dosyasında yer alan sağlık raporunun dava savunmasında kullanılmak suretiyle mahkemeye sunulması” hakkında Kişisel Verileri Koruma Kurulunun 18/02/2020 tarihli ve 2020/138 sayılı Karar Özeti: https://www.kvkk.gov.tr/Icerik/6887/2020-138
[8] “Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi” hakkında Kişisel Verileri Koruma Kurulunun 28/05/2020 tarihli ve 2020/435 sayılı Karar Özeti: https://kvkk.gov.tr/Icerik/6916/2020-435