Kişisel Veri Koruma Kurulu'nun ("Kurul") 4 Temmuz 2018 Tarihli ve 30468 Sayılı Resmi Gazete'de yayınlanan 31 Mayıs 2018 tarih ve 2018/63 Sayılı kararı (bknz. https://kvkk.gov.tr/Icerik/5248/2018-63) ile ilgili yeni yayınlamış olduğumuz yazımızı ( KVKK ilke kararı) takiben, konuya dair farklı açından değerlendirmelerimizi de bu yazımızla not etmek istiyoruz.

Kurulu'un ilke kararı ne diyordu?

Kısaca hatırlamak gerekirse, Kurul ilgili kararda, "bir veri sorumlusu nezdinde bulundukları pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olanlar tarafından, yetkileri aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amaçlara veya nedenlere bağlı olarak işleme amacı dışında söz konusu kişisel verilerin işlenmesi ve/veya bu verilerin üçüncü kişilerle paylaşılması, Kanun'un 12 (1) maddesine aykırılık teşkil edeceğinden, bu kapsamdaki eylemlerin önlenmesi amacıyla veri sorumlularınca uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirin alınması gerektiği" konusunda veri sorumlularını bilgilendirmişti.

Peki, veri sorumlusunun uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almış olmasına rağmen, şirket nezdinde çalışan ve pozisyon veya görev itibariyle kişisel verilere erişme yetkisi olan çalışan/çalışanların hukuka aykırı eylemleri açısından durumları ne?

Kurul'un bahsi geçen ilke kararı ayrıca bu konuya değinmiyor.

Veri sorumlusu şirket olarak ne önlem alırsanız alın, sonunda çalışanın kötü niyetli eylemlerinin önüne geçmeniz mümkün olmayabilir. Bu durumda kim sorumlu olacak?

Teknik ve idari tedbirleri alan veya almak için gerekli adımları atan veri sorumluları açısından bu soru da oldukça önemli. Zira, siz veri sorumlusu olarak ne önlem alırsanız alın, sonunda çalışanın kötüniyetli eylemlerinin önüne geçmeniz mümkün olmayabilir.

Bu durumda, veri sorumlusu işveren şirket mi sorumlu olacak, yoksa ihlalde bulunan çalışan mı?

Buna cevap vermek için, Kanun'daki veri sorumlusu tanımına gelin bir kez daha bakalım:

"Veri sorumlusu: Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi"dir.

Bu tanımdan çıkan, veri sorumlusu (yani duruma göre cezai sorumluluğa veya idari para cezasına konu olabilecek kişi)

  • gerçek ya da bir tüzel kişi olabilir
  • bunun için veri işleme amaçlarını ve vasıtalarını belirliyor olması yeterli ve gereklidir ve
  • veri kayıt sisteminin kurulmasından ve yönetilmesinden

sorumlu olan kişi olmalıdır.

Şimdi, ilke kararında bahsedildiği gibi, yetkilerini aşmak ve/veya yetkilerini kötüye kullanmak suretiyle, kişisel amacına veya kişisel bir nedene bağlı olarak, başkalarının kişisel verilerinin esas işleme amacı dışında, elde eden, kaydeden, değiştiren yeniden düzenleyen, açıklayan, aktaran, ya da elde edilebilir hâle getiren (yani işleyen) bir çalışan olduğunu düşünelim.

Bu çalışanın, görev tanımı dışına çıkarak ya da yetkilerini kötüye kullanarak erişimi olan verileri kendi belirlediği işleme amaçları ve vasıtalarla işlemeye başladığı an itibariyle, artık bir veri sorumlusuna dönüşeceğini kabul etmek gerekir. Bu, elbette, duruma göre işverenin (yani birinci veri sorumlusunun) sorumluluklarını, ihlalin öncesinde ve/veya ihlalin sonrasında, ortadan kaldırmayabilir ya da kaldırmayacaktır. Ancak mühim olan, çalışanların ne zaman bir veri sorumlusuna dönüşmüş olabileceklerini ve bu durumda muhtemel sorumluklarını tam anlamalarıdır. Bu husus, çalışanların hukuka aykırı eylemlerinden dolayı karşı karşıya kalabilecekleri riskleri iyi tahlil edebilmeleri açısından en az Kanun'un 12. maddesi hükmü kadar önemlidir diye düşünüyoruz.

Çünkü artık böyle bir durumda, veri sahibinin, ihlalde bulunan bu gerçek kişiye (ve/veya duruma göre kişilere) karşı Kanun'un 11. maddesinden doğan haklarını doğrudan kullanması sözkonusu olur ve Kurul'un da bu gerçek kişi veri sorumlusu çalışan hakkında, olayın özelliklerini dikkate alarak, Kanun'daki cezai sorumluluk maddelerine ya da idari para cezası yaptırımına başvurma yolu açılmış olur.

Peki o zaman, bu durum ilk etapta veri sorumlu olan işveren şirketin sorumluluğunu tamamen ortadan kaldıracak mıdır? Elbette hayır. Ama her bir olayda, o olayın özelliklerinin dikkati alması gerekir. Veri sorumlusu şirketin Madde 12 tahtındaki yükümlülüklerini yerine getirmiş olup olmadığı, ihlalin şekli, zamanı vs bir çok etken önemli olacaktır.

İngiltere'den bir örnek

Bu konuya güzel bir örnek olabileceği düşüncesiyle, bu sene başında İngiliz basınında çokça yer bulan Morrisons Davasına bir göz atalım istiyoruz.

İngiliz bir süpermarket zinciri olan Morrisons'a, 5558 çalışanı tarafından açılan davada, "mahkeme veri sorumlusu kimdir?" sorusunu cevaplamış ve Morrisons şirketinin eski IT denetçisinin kanuna aykırı davranışlarından doğrudan mı yoksa dolaylı olarak mı sorumlu olduğunu değerlendirip karara bağlamıştı.

Dava konusu olayda, Morrisons çalışanları, isimlerinin, adreslerinin, cinsiyetlerinin, doğum tarihlerinin, telefon numaralarının, sosyal güvenlik numaralarının, banka kodlarının, banka hesap detayları ve ücretlerinin internette paylaşıldığını fark ediyorlar. Bu veri sızıntısının kaynağının ise, verilere erişimi olan üst düzey bir IT denetçisi olduğu anlaşılıyor. Bu IT denetçisinin kendisinin görevi olan dış denetçiye verileri teslim etmek için hazırlanmış bir flash bellekten bu verilere ulaştığı belirleniyor. Denetçinin, daha önce haksız olduğunu düşündüğü bir disiplin yaptırımına tabi tutulmuş olduğu ve o olaydan sonra Morrisons'dan intikam almak istediği anlaşılıyor. Sonuçta, suçu işleyen bu kişi, yakalanarak 8 yıl hapis cezasına mahkum ediliyor ancak Morrisons şirketi çalışanları Morrisons'a karşı da dava açıyorlar.

Davacılar, davada (1) IT denetçisi bir şirketin çalışanı olduğundan, Morrisons'ın denetçinin eylemlerinden (dolaylı) ikinci derecede sorumlu olduğunu; (2) Morrisons'ın temel kanuni yükümlülüğünü ihlal ettiğinden ve kişisel verinin kötüye kullanımı ve veri güvenliği ihlali meydana geldiğinden doğrudan sorumlu olduğunu iddia ediyorlar.

Davacılar, Morrisons şirketinin, veri sorumlusu olarak pozisyonunu her daim korumakta olduğunu ve kişisel verilerin internete yüklenmesinin, hem Morrisons'ın gerekli önlemleri almada ihmalkar davrandığını gösterdiğini, hem de kişisel verilerin işlenmesine ilişkin açık ve net olarak belirlenmiş birçok ilkeyi de ihlal ettiğini ileri sürüyorlar.

Mahkeme, dava konusu olayda hem Morrisons'ın veri ihlalinden doğrudan sorumluluğunu, hem de çalışanının kusurundan dolayı sorumluluğunu inceleyerek bir karar veriyor.

Hakim kararında, verilerin flash belleğe aktarıldığı anda, bunu yapan çalışanın artık bir veri sorumlusuna dönüştüğünü vurguluyor.

Davada, Morrisons şirketi tarafından ilgili kişisel veri işleme faaliyetini önlemek için atılan adımlar da değerlendiriliyor. Bilgilerin dış denetçiye aktarımı için kullanılan flash belleğin önceden şifrelenmiş olması ve aktarımın bu şekilde yapılmasını makul tedbirlerin alınmış olması olarak görülüyor. Hakim ayrıca, her ne kadar çalışan, bir disiplin sürecine tabi tutulmuş olsa da o zamanki şartlar altında çalışanın veri aktarım görevini yerine getirmesinin uygunsuz olacağını tayin edecek bir durum olmadığını değerlendiriyor. Bu sebeple Morrisons şirketinin yetkisiz veya hukuka aykırı kişisel veri işlemesine karşı gerekli teknik ve idari tedbirleri aldığına karar veriliyor.

Ancak, mahkeme Morrisons'ın çalışanının eylemlerinden dolaylı olarak sorumlu olup olmadığı (adam çalıştıranın sorumluluğu) sorusuna cevabını, bu eylemlerin, çalışanın Morrisons'daki pozisyonuna yeterli ve yakın düzeyde bağlı olup olmadığını tespit etmek suretiyle veriyor.

Bu noktada hakim, Morrisons şirketini, çalışanın eylemlerinde dolayı dolaylı olarak sorumlu buluyor. Mahkeme gerekçelerinde, çalışanın işi/işteki görevi ile, verinin hukuka aykırı ifşası arasında bir bağlantı, olaylar zinciri olduğunu belirterek; bu veriler, IT denetçisine bir 3. tarafa sunması için emanet edilmiş olduğundan, her ne kadar bu kişi yetkisinin dışında hareket etmişse de, nihayetinde fiili ile kendisine verilen görev arasında bir ilişkili olduğu tespit ediliyor.

Bu mahkeme kararının, Genel Veri Koruma Tüzüğü (GDPR) daha yürürlüğe girmeden önce İngiliz Kanunları ile birlikte 95/46/EC sayılı Avrupa Veri Koruma Direktifi de dikkate alınarak verilmiş olduğunu not edelim.

İlgili kararın tam metnine https://www.judiciary.uk/wp-content/uploads/2017/12/morrisons_approved_judgment.pdf adresinden ulaşabilirsiniz. Biraz uzun ama kesinlikle bir göz atmanızı tavsiye ederiz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.