KVKK Kurul Kararı 2020/769 Özeti: Şirket Devri Sonrası Eski Çalışan Verileri ve Hukuka Aykırı İşleme İddiası

KVKK Kurul Kararı · Şirket Devri · Eski Çalışan Verileri

KVKK Kurul Kararı (08/10/2020, 2020/769) Şirket Devri Sonrası Eski Çalışan Verileri Nasıl Yönetilmeli?

Şirket birleşmeleri ve devirleri; yalnızca finansal ve operasyonel bir dönüşüm değil, aynı zamanda kişisel veri yönetimi açısından yüksek riskli süreçlerdir. Eski çalışana ait özlük dosyaları, saklama süreleri, özel nitelikli veriler (özellikle sağlık verileri) ve iletişim izinleri; devralan veri sorumlusu şirketin KVKK uyumunun en görünür alanları arasında yer alır.

Bu içerikte; Kişisel Verileri Koruma Kurulunun 08/10/2020 tarihli ve 2020/769 sayılı Kararı çerçevesinde; şikâyetin konusu, Kurulun değerlendirme mantığı, dayandığı mevzuat başlıkları ve şirket devri süreçlerinde kurumsal olarak uygulanması gereken kontrol adımları pratik bir dille özetlenmiştir.

Karar Özeti Kurumsal Uyum Kontrolleri

İçindekiler 1. Karar Neyi Konu Alıyor? 2. İddialar: Aydınlatma, Sağlık Verisi, Saklama Süresi, İleti 3. Kurulun Hukuki Çerçevesi (KVKK m.5-6-10-11) 4. Kurulun Değerlendirmesi ve Sonuç 5. Şirket Devri İçin Uyum Yol Haritası 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Karar No: 2020/769 (08/10/2020)
Konu: Devralan şirketin eski çalışana ait verileri hukuka aykırı işlediği iddiası
Odak: Aydınlatma yükümlülüğü, özlük dosyası saklama, sağlık verisi işleme şartları, ticari ileti iddiası
Sonuç: Bazı iddialar yönünden Kurumca işlem yapılacak husus bulunmadığına; sağlık verisinin işyeri hekimi erişimiyle sınırlı tutulması gibi unsurların dikkate alındığına karar verilmiştir.

Şirket devri senaryolarında “mevzuata dayalı saklama” ile “amaç dışı kullanım” sınırı net çizilmelidir.

Şirket Devri Özlük Dosyası Sağlık Verisi

Not: Bu metin karar özetine dayalı bilgilendirme niteliğindedir. Kurum içi uygulamada; devir sözleşmesi, veri envanteri, saklama-imha politikası, rol bazlı erişim ve başvuru yönetimi birlikte ele alınmalıdır.

1. Karar Neyi Konu Alıyor?

Kişisel Verileri Koruma Kurulunun 08/10/2020 tarihli ve 2020/769 sayılı Kararı; ilgili kişinin eski çalışanı olduğu şirketin başka bir şirkete borç, ödev ve yükümlülükleriyle devredilmesi sonrasında, devralan şirketin veri sorumlusu sıfatıyla kişisel verileri hukuka aykırı işlediği iddiasını konu edinmektedir.

Şikâyet; temelde “devir sonrası veri işleme” başlığında dört ana risk alanına odaklanır: aydınlatma yükümlülüğü, özel nitelikli veri (sağlık), saklama süreleri ve ticari elektronik ileti. Bu çerçeve; Türkiye’de M&A / şirket devri süreçlerinde KVKK uygulamasının nasıl kurgulanması gerektiğine dair önemli işaretler taşır.

Uygulama notu: Şirket devri; veri sorumluluğu rolünün devrini, veri envanterinin ve saklama gerekçelerinin devralan yapıda yeniden teyidini gerektirir. Özellikle İK süreçleri ve özlük dosyaları, denetimlerde en hızlı görünür hale gelen alanlardan biridir.

2. İddialar: Aydınlatma, Sağlık Verisi, Saklama Süresi ve Ticari İleti

İlgili kişinin Kuruma intikal eden şikâyetinde öne çıkan iddialar; Kurul kararında ayrıntılı şekilde ele alınmıştır. Kurumsal perspektiften bakıldığında, bu iddialar “uyum kontrol listesi” olarak da okunabilir.

İddiaların özeti

Aydınlatma yapılmadığı iddiası: Kişisel verilerin elde edilmesi sırasında ilgili kişiye herhangi bir bilgilendirme yapılmadığı, devralan şirketin internet sitesindeki aydınlatma metninin ise açık ve belirli olmayan/muğlak ifadeler içerdiği.
Sağlık verisi (özel nitelikli veri) iddiası: İlgili kişinin özlük dosyasında sağlık verilerinin bulunduğu, KVKK m.6 kapsamında açık rıza alınmadan işlendiği ileri sürülmüştür.
Saklama süresi tartışması: Veri sorumlusunun yanıtında belirtilen 10 yıllık saklama süresinin geçersiz olduğu, İş Sağlığı ve Güvenliği mevzuatı uyarınca 15 yıl saklama gerektiği ileri sürülmüştür.
Ticari elektronik ileti iddiası: Veri sorumlusu tarafından ticari elektronik iletiler gönderilerek kişisel verilerin hukuka aykırı işlendiği iddia edilmiştir.

Pratik risk alanı: Şirket devri sonrası eski çalışan verilerinde “hukuki yükümlülük nedeniyle saklama” ile “amaç dışı erişim/kullanım” ayrımı netleştirilmelidir. Bu ayrım; hem iç kontrol hem de başvuru yönetimi açısından belirleyicidir.

3. Kurulun Hukuki Çerçevesi (KVKK m.5, m.6, m.10, m.11)

Kurul; incelemede KVKK’nın temel maddeleri ile iş ve sosyal güvenlik mevzuatındaki saklama yükümlülüklerini birlikte değerlendirmiştir. Bu yaklaşım, özellikle İK verilerinde kanuni yükümlülük ve özel nitelikli veri ayrımının nasıl yönetileceğini gösterir.

KVKK m.5 — Kişisel verilerin işlenme şartları

Kurul; kural olarak kişisel verilerin açık rıza olmaksızın işlenemeyeceğini, ancak kanunda sayılan işleme şartlarından birinin varlığı halinde (ör. kanunlarda açıkça öngörülmesi, hukuki yükümlülüğün yerine getirilmesi, bir hakkın tesisi/kullanılması/korunması) açık rıza aranmaksızın işlemeye imkân tanındığını hatırlatmıştır.

KVKK m.6 — Özel nitelikli kişisel veriler (sağlık verisi)

Sağlık verileri özel nitelikli veri olup kural olarak açık rıza olmaksızın işlenemez. Bununla birlikte Kurul; sağlık verilerinin, mevzuatta öngörülen amaçlarla ve sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum/kuruluşlar tarafından belirli şartlarla işlenebileceğini; ayrıca Kurul tarafından belirlenen yeterli önlemler gerekliliğini vurgulamıştır.

KVKK m.10 ve m.11 — Aydınlatma ve ilgili kişi hakları

Aydınlatma yükümlülüğü; veri sorumlusunun kimliği, amaçlar, alıcı grupları, toplama yöntemi-hukuki sebep ve ilgili kişi haklarına ilişkin bilgilendirmeyi içerir. İlgili kişi başvurularına yanıt ise KVKK m.11 kapsamındaki hakların kullanılabilmesi için kritik bir süreç kontrolüdür.

İş ve sosyal güvenlik mevzuatı — Özlük dosyası ve saklama

Kurul kararında; 4857 sayılı İş Kanunu m.75 (özü itibarıyla özlük dosyası düzenleme ve belgeleri saklama yükümlülüğü) ile 5510 sayılı Kanun m.86 (işyeri kayıt ve belgelerinin belirli süre saklanması) hükümlerine değinilerek, İK verilerinde kanuni saklama gerekçesinin KVKK m.5 işleme şartlarıyla ilişkisi kurulmuştur.

Kurumsal mesaj: İK verilerinde “iş sözleşmesi sona erdi, veri bitti” yaklaşımı doğru değildir. Kanuni saklama yükümlülükleri devam eder; ancak bu durum, verinin her amaçla kullanılabileceği anlamına da gelmez.

4. Kurulun Değerlendirmesi ve Sonuç

Kurul; somut olayda iddiaları ayrı ayrı değerlendirerek, veri işleme faaliyetinin zamanlaması, hukuki dayanaklar, saklama gerekçesi ve erişim sınırlandırmaları üzerinden sonuca gitmiştir. Kararın öne çıkan değerlendirme başlıkları aşağıdaki gibidir:

4.1 Aydınlatma yükümlülüğü iddiası

Kararda; ilgili kişinin kişisel verilerinin 2014-2015 yıllarında işlendiği, KVKK’nın ise 07.04.2016 tarihinde yürürlüğe girdiği belirtilerek, bu tarihler itibarıyla kanunun yürürlükte olmaması nedeniyle kişisel verilerin elde edilmesi sırasında KVKK m.10 kapsamındaki aydınlatma yükümlülüğünün uygulanamayacağı değerlendirilmiştir.

4.2 Özlük dosyası verileri ve işleme şartı

Kurul; işverenin çalışan özlük dosyalarını düzenlemesi bakımından veri sorumlusu sıfatını haiz olduğunu, İş Kanunu ve sosyal güvenlik mevzuatı kapsamındaki yükümlülükler nedeniyle yapılan veri işlemenin; KVKK m.5/2 kapsamında “kanunlarda açıkça öngörülme” ve “hukuki yükümlülüğün yerine getirilmesi” şartlarına dayanabileceğini değerlendirmiştir.

4.3 Sağlık verisi (özel nitelikli veri) ve erişim sınırı

Sağlık verisi içeren kayıtların kişisel sağlık dosyalarında saklandığı, bu dosyalara erişimin yalnızca işyeri hekimi ile sınırlı olduğu, şirket sistemlerinde kayıtlı olmadığı beyanı; ayrıca işyeri hekiminin sır saklama yükümlülüğü altında bulunması ve mevzuatta öngörülen görevler kapsamında sağlık verisi işleyebilmesi dikkate alınmıştır. Kurul; özel nitelikli veri işlemede yeterli önlemler çerçevesine de atıf yaparak, somut olayda belirtilen sınırlandırmalar kapsamında değerlendirme yapmıştır.

4.4 Ticari elektronik ileti iddiası

Kararda; ticari elektronik ileti gönderimi iddiası yönünden somut delile rastlanılmadığı belirtilerek bu aşamada Kurum tarafından yapılacak bir işlem bulunmadığı ifade edilmiştir.

İddia Başlığı	Kurulun Yaklaşımı	Kurumlar İçin Ana Ders
Aydınlatma	Veri işleme dönemi KVKK öncesi olduğu için KVKK kapsamında işlem bulunmadığı değerlendirilmiştir.	Devir sonrası güncel süreçlerde aydınlatma metinleri açık, spesifik ve rol/süreç bazlı olmalıdır.
Özlük dosyası / saklama	Mevzuata dayalı saklama ve hukuki yükümlülük kapsamında işleme şartları değerlendirilmiştir.	Saklama süresi ve gerekçe; politika, envanter ve fiili uygulama ile uyumlu olmalıdır.
Sağlık verisi	İşyeri hekimi erişimiyle sınırlılık ve sır saklama yükümlülüğü gibi unsurlar dikkate alınmıştır.	Özel nitelikli veri erişimi minimum yetki ile kurgulanmalı, yeterli önlemler dokümante edilmelidir.
Ticari ileti	Somut delil bulunmadığından işlem yapılmadığı belirtilmiştir.	İleti izinleri ve kayıtları denetlenebilir olmalı; devirde izin/temel dayanak kontrolü yapılmalıdır.

Özet yorum: Karar; şirket devrinde eski çalışan verilerinin “mevzuata dayalı saklama” kapsamında yönetilebileceğini, ancak özellikle sağlık verisi gibi özel nitelikli verilerde erişim sınırlandırması ve yeterli önlem yaklaşımının kritik olduğunu göstermektedir.

5. Şirket Devri Süreçleri İçin KVKK Uyum Yol Haritası

2020/769 sayılı karar, şirket devri senaryolarında KVKK uyumunun “sözleşme imzalandı, dosyalar devredildi” yaklaşımından ibaret olamayacağını net biçimde gösterir. Aşağıdaki adımlar; Türkiye’de faaliyet gösteren veri sorumluları için uygulanabilir bir kontrol çerçevesi sunar.

1. Devir Öncesi Veri Envanteri ve Sınıflandırma Yapın

Eski çalışan verileri dahil olmak üzere; İK süreçleri, özlük dosyaları, bordro, yan haklar, disiplin kayıtları ve sağlık dosyaları ayrı ayrı sınıflandırılmalıdır. Özel nitelikli veri içeren setler (sağlık, biyometrik vb.) ayrıca etiketlenmeli ve erişim matrisi çıkarılmalıdır.

2. Saklama Sürelerini Mevzuat ve Süreç Bazlı Tanımlayın

Saklama süreleri; tek bir “genel süre” üzerinden değil, belge türü + mevzuat yükümlülüğü + risk üçlüsüyle tanımlanmalıdır. Politika/envanter/fiili uygulama arasındaki tutarlılık; başvuru ve denetimlerde en kritik göstergedir.

3. Sağlık Verisi İçin Rol Bazlı Erişim ve İzlenebilirlik Kurun

Sağlık verisi gibi özel nitelikli veriler; mümkün olan en dar erişimle (ör. yalnızca işyeri hekimi) yönetilmeli, sistemsel erişim kısıtları ve kayıt (log) mekanizmaları devreye alınmalıdır. Yeterli önlemler, prosedür ve görev tanımlarıyla desteklenmelidir.

4. Aydınlatma Metinlerini Devir Sonrası Yapıya Göre Güncelleyin

Devralan şirketin internet sitesindeki aydınlatma metinleri; muğlak/genel ifadeler yerine açık ve belirli olmalı, özellikle “eski çalışan verileri” gibi özel süreçler için anlaşılır bir çerçeve sunmalıdır. İçerik; amaç, alıcı grupları, saklama süreleri ve haklar başlıklarını net biçimde içermelidir.

5. İlgili Kişi Başvuru Yönetimini Entegrasyon Planına Dahil Edin

Devir sonrası en çok karşılaşılan başvurular; eski çalışanların bilgi talebi, saklama süresi sorgusu, ileti/izin itirazı ve veriye erişim/ düzeltme talepleridir. Bu nedenle başvuru kanalları, kimlik doğrulama, iç onay akışı ve yanıt şablonları önceden hazırlanmalıdır.

6. Ticari Elektronik İleti ve İletişim İzinlerini Ayrı Kontrol Edin

Devirle birlikte iletişim verileri ve pazarlama listeleri de el değiştiriyorsa; izin kayıtları, hukuki dayanak ve ispatlanabilirlik kontrol edilmelidir. “Eski çalışan” verilerinin pazarlama amaçlı kullanımı, yüksek uyum riski doğurabileceği için ayrıca kısıtlanmalıdır.

KVKK Kurul Kararı 2020/769 şirket devri KVKK eski çalışan verileri özel nitelikli veri sağlık saklama süresi özlük dosyası

Operasyonel öneri: Devir süreçlerinde “KVKK entegrasyon kontrol listesi” hazırlanması; veri devri, erişim yetkileri, saklama-imha, aydınlatma ve başvuru yönetimini tek bir çerçevede toplar. Bu yaklaşım, hem iş sürekliliği hem de uyum risklerinin azaltılması açısından güçlü bir pratik sağlar.

6. Sık Sorulan Sorular (SSS)

Şirket devrinde eski çalışan verileri otomatik olarak devralana geçer mi?

Devir senaryosunda iş ve sosyal güvenlik mevzuatından kaynaklanan yükümlülükler devam edebilir; ancak veri yönetimi mutlaka amaç, saklama gerekçesi ve erişim sınırlarıyla birlikte ele alınmalıdır. Devralan veri sorumlusu; süreçleri KVKK uyumlu şekilde yeniden yapılandırmakla yükümlüdür.

Eski çalışan sağlık verileri için mutlaka açık rıza gerekir mi?

Sağlık verisi özel nitelikli veridir. Somut olayın şartlarına göre; sır saklama yükümlülüğü altındaki işyeri hekiminin mevzuatta öngörülen görevleri kapsamında ve gerekli yeterli önlemlerle işleme yapılabilmesi mümkündür. Kurumsal olarak erişim sınırlandırması ve önlem seti kritik önemdedir.

Aydınlatma metninin “muğlak” olması neden risk yaratır?

Aydınlatma yükümlülüğünün özü şeffaflıktır. Genel, açık olmayan ifadeler; hangi verinin hangi amaçla işlendiğini anlaşılmaz hale getirir ve başvuru/denetim süreçlerinde uyum riskini artırır. Özellikle eski çalışan süreçleri için daha spesifik bir çerçeve önerilir.

Saklama süresi hangi kaynaklara göre belirlenmeli?

Saklama süreleri; ilgili mevzuat yükümlülükleri, zamanaşımı süreleri, ispat yükü ve iş süreçlerinin gereklilikleriyle birlikte değerlendirilmelidir. En kritik nokta; sürelerin politika/enva nter ve fiili uygulama ile uyumlu olmasıdır.

Ticari elektronik ileti iddiasında kurum neyi ispatlamalıdır?

İleti gönderimi varsa; izin kaydı, hukuki dayanak ve gönderim kayıtlarının denetlenebilir olması gerekir. Devir senaryolarında izinlerin taşınması/yenilenmesi konusu ayrıca kontrol edilmelidir.

Şirket devri sonrası ilk 30 günde hangi KVKK kontrolleri yapılmalı?

İK ve eski çalışan verileri için envanter doğrulaması, saklama süreleri teyidi, özel nitelikli veri erişim matrisi, aydınlatma metinlerinin güncellenmesi, başvuru yönetimi ve ileti izinlerinin kontrolü önceliklendirilmelidir. Bu adımlar; uyum risklerini hızlıca düşürür.