Sosyal Medyada Fotoğraf Paylaşımı ve KVKK: 2021/422 Sayılı Karar Özeti

KVKK Karar Özeti · Sosyal Medya · Fotoğraf Paylaşımı

KVKK 2021/422 Kararı Sosyal Medyada Çalışan Fotoğrafı Paylaşımı ve Kişisel Veri İşleme

Kişisel verilerin sosyal medya platformlarında kontrolsüz kullanımı, işletmeler açısından hem itibar hem de hukuki sorumluluk doğuran kritik riskler barındırır. Kişisel Verileri Koruma Kurulunun 27/04/2021 tarihli ve 2021/422 sayılı kararı, eski çalışanların fotoğraflarının veri sorumlusuna ait sosyal medya hesaplarında paylaşılması durumunda hangi sınırların bulunduğunu somut biçimde ortaya koymaktadır.

Bu yazıda, ilgili kişinin fotoğraflarının sosyal medyada paylaşılması suretiyle gerçekleşen kişisel veri işleme faaliyetine ilişkin şikâyet sürecini, KVKK m.5, m.7 ve ilgili Yönetmelik hükümleri ışığında Kurulun değerlendirmesini ve veri sorumluları için çıkarılacak dersleri özetliyoruz.

Olayın Özetini Oku Hukuki Çerçeve (KVKK m.5 ve m.7)

İçindekiler 1. Olayın Özeti ve Şikâyet Konusu 2. KVKK ve İlgili Yönetmelik Kapsamında Hukuki Çerçeve 3. Kurulun Değerlendirmesi (2021/422) 4. Sosyal Medya Hesaplarında Fotoğraf Kullanımı 5. Veri Sorumluları İçin Dersler ve Öneriler 6. Sık Sorulan Sorular (SSS)

Hızlı Özet

Kararın konusu: Eski çalışanın fotoğraflarının, veri sorumlusuna ait sosyal medya hesabında açık rıza olmaksızın ve talebe rağmen kaldırılmadan paylaşılmaya devam edilmesi.
Temel tespit: Veri sorumlusunun, herhangi bir kişisel veri işleme şartına dayanmaksızın fotoğraf paylaşmaya devam etmesi ve silme/yok etme yükümlülüğünü süresinde yerine getirmemesi.
Sonuç: Kanunun 18/1-b bendi kapsamında idari para cezası ve fotoğrafların sosyal medya hesabından kaldırılması, uygun usulle silinmesi/yok edilmesi yönünde talimat.

Kaynak: KVKK Kurulunun 27/04/2021 tarihli ve 2021/422 sayılı Karar Özeti (kvkk.gov.tr). Bu metin, kararın kolay anlaşılmasını amaçlayan bilgilendirici bir rehber niteliğindedir.

KVKK 2021/422 Sosyal medya fotoğrafı Kişisel veri işleme

İlgili kaynak: Kararın tam metni için KVKK’nın resmi internet sitesine, KVKK hakkında genel bilgi için ise “Kişisel Verilerin Korunması Kanunu (KVKK) nedir?” başlıklı bilgilendirme sayfalarına başvurulmalıdır.

1. Olayın Özeti ve Şikâyet Konusu

Karara konu olayda, ilgili kişi veri sorumlusunun iş yerinde pilates eğitmeni olarak çalışmakta iken iş ilişkisi sona ermiş; buna rağmen veri sorumlusuna ait sosyal medya hesabında, ilgili kişiye ait fotoğraflar herkese açık şekilde paylaşılmaya devam etmiştir.

İlgili kişi, veri sorumlusuna başvurarak:

Söz konusu fotoğraf paylaşımlarının kaldırılmasını,
Fotoğrafların kendisine iade edilmesini,
Veri sorumlusu nezdinde bulunan fotoğrafların yok edilmesini,
Reklam veya başka bir amaçla sosyal medyada kullanılmamasını

talep etmiştir.

Veri sorumlusu, ilgili kişiye verdiği cevapta fotoğrafların şirket tanıtımına ilişkin görsellerde kullanıldığını, ilgili kişinin bu çekimlerde kendi isteğiyle yer aldığını, fotoğrafların şahsi özellikleri öne çıkarmadığını ve bir aykırılık bulunmadığını savunmuştur. Buna rağmen ihtarname sonrası kullanımından vazgeçildiği belirtilmiş olsa da, fiiliyatta fotoğrafların sosyal medya hesabından kaldırılmadığı anlaşılmıştır.

Ayrıca veri sorumlusu, Kurum tarafından gönderilen savunma, bilgi ve belge talepli yazıya yasal süre içerisinde cevap vermemiş; böylece ilgili kişinin açık rızasının alındığına veya başka bir kişisel veri işleme şartının mevcut olduğuna ilişkin somut belge sunmamıştır.

2. KVKK ve Silme/Yok Etme Yönetmeliği Kapsamında Hukuki Çerçeve

Kurul, değerlendirmesinde öncelikle 6698 sayılı KVKK’nın temel hükümlerine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelike atıf yapmıştır.

2.1. KVKK m.5 – Kişisel Verilerin İşlenme Şartları

KVKK’nın 5. maddesinin 1. fıkrası, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğini düzenlemektedir. Aynı maddenin 2. fıkrasında ise, açık rıza olmaksızın veri işlenmesinin mümkün olduğu istisnai haller (kanunda açıkça öngörülme, sözleşmenin ifası, hukuki yükümlülük, meşru menfaat vb.) sayılmıştır.

2.2. KVKK m.7 – Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi

Kanunun 7. maddesine göre, kişisel veriler:

Kanuna uygun şekilde işlenmiş olsa dahi,
İşlenmesini gerektiren sebepler ortadan kalktığında,

veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir.

2.3. Yönetmelik m.12 – Silme ve Yok Etme Süreleri

28.10.2017 tarihli ve 30224 sayılı Resmî Gazete’de yayımlanan Yönetmelik’in “Kişisel Verileri İlgili Kişinin Talep Etmesi Durumunda Silme ve Yok Etme Süreleri” başlıklı 12. maddesinde:

İlgili kişinin kişisel verilerinin silinmesini/yok edilmesini talep etmesi halinde, veri işleme şartları tamamen ortadan kalkmışsa veri sorumlusunun bu talebi en geç 30 gün içinde sonuçlandırması ve ilgili kişiye bilgi vermesi gerektiği,
Veriler üçüncü kişilere aktarılmışsa bu durumun ilgili üçüncü kişilere bildirilmesi ve onlar nezdinde de gerekli işlemlerin yapılmasının sağlanması gerektiği,
Veri işleme şartları ortadan kalkmamışsa, talebin gerekçesi açıklanarak reddedilebileceği ve bu ret cevabının da en geç 30 gün içinde ilgili kişiye bildirilmesi gerektiği

hükme bağlanmıştır.

2.4. Silme ve Yok Etmede Teknik ve İdari Tedbirler

Yönetmeliğin 8. ve 9. maddelerine göre veri sorumlusu:

Silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması,
Yok edilen kişisel veriler bakımından gerekli teknik ve idari tedbirlerin alınması

ile yükümlüdür. Bu yükümlülükler, sosyal medya platformları gibi üçüncü taraf hizmetlerde tutulan veriler için de geçerlidir.

3. Kurulun Değerlendirmesi: KVKK 2021/422 Kararı

Kurul, eldeki bilgi ve belgeleri incelediğinde, veri sorumlusunun savunma talebine cevap vermemiş olması nedeniyle ilgili kişinin açık rızasının alındığına veya başka bir işleme şartının varlığına dair somut bir kanıt elde edememiştir.

Şikâyete konu sosyal medya hesabında:

15.05.2019 tarihli paylaşımda ilgili kişinin fotoğrafının arka planda ve hafif bulanık şekilde,
20.05.2019 tarihli paylaşımda ise ilgili kişinin fotoğrafının net şekilde seçilebilir biçimde

paylaşıldığı görülmüştür.

3.1. Hukuka Aykırı Kişisel Veri İşleme Tespiti

Kurul, veri sorumlusunun:

KVKK m.5 kapsamında herhangi bir kişisel veri işleme şartına dayanmaksızın,
İlgili kişinin fotoğraflarını sosyal medyada paylaşmaya devam ederek,

ilgili kişinin kişisel verilerini hukuka aykırı şekilde işlediği kanaatine varmıştır.

Bu durum, KVKK m.12/1 kapsamında veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri almadığını göstermektedir.

3.2. Silme/Yok Etme Yükümlülüğünün İhlali

İlgili kişinin açık talebine rağmen, fotoğrafların:

Yönetmelik m.12/1-a’da öngörülen otuz günlük yasal süre içerisinde silinmemiş/yok edilmemiş olması,
Paylaşımın ve veri işleme faaliyetinin bu süre geçtikten sonra da devam etmesi

ayrıca KVKK m.7 ve ilgili Yönetmelik hükümlerine aykırılık teşkil etmektedir.

3.3. Karar ve Sonuç

Kurul, yukarıdaki tespitler ışığında:

Veri sorumlusu hakkında, Kanunun 18. maddesinin 1. fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
Veri sorumlusunun sosyal medya hesabında bulunan ilgili kişiye ait tüm fotoğrafların, Yönetmeliğe uygun usulle silinmesi/yok edilmesi ve hesaptan kaldırılmasına,
Söz konusu fotoğrafların başka hiçbir mecrada kullanılmaması,
Yapılan işlemlerin sonucundan Kurula bilgi verilmesi

yönünde talimatlandırılmasına karar vermiştir.

4. Sosyal Medya Hesaplarında Çalışan Fotoğrafı Kullanımı: Riskler ve Sınırlar

Günümüzde şirketler; marka bilinirliği ve pazarlama faaliyetleri kapsamında sosyal medya hesaplarında çalışan fotoğraflarını sıkça kullanmaktadır. Ancak bu tür paylaşımlar, KVKK anlamında birer kişisel veri işleme faaliyetidir ve belirli şartlara bağlanmıştır.

Bu karar özelinde Kurulun altını çizdiği kritik noktalar şunlardır:

Çalışan, sözleşme devam ederken tanıtım çekimlerine katılmış olsa bile, bu durum tek başına sosyal medya paylaşımlarının süresiz ve sınırsız şekilde devam edeceği anlamına gelmez.
İş ilişkisi sona erdikten sonra dahi, ilgili fotoğrafların herkese açık sosyal medya hesaplarında tutulmaya devam edilmesi, veri işleme amaç ve süreleri bakımından yeniden değerlendirilmelidir.
İlgili kişi, fotoğraflarının kullanılmamasını talep ederse, veri sorumlusu bu talebi ciddi ve hızlı şekilde ele almalı; gerekirse paylaşımları kaldırmalı ve verileri silmelidir.

Özellikle eski çalışanların fotoğraflarının “şirket reklamı” veya “kurumsal tanıtım” amaçlı kullanımı, KVKK standartları çerçevesinde dikkatle yönetilmesi gereken bir konudur.

Sosyal medya KVKK Çalışan fotoğrafı KVKK karar özeti

5. Veri Sorumluları İçin Dersler ve Uygulama Önerileri

KVKK Kurulunun 2021/422 sayılı kararı, sosyal medya ve pazarlama ekipleri ile insan kaynakları birimleri için önemli dersler içermektedir. Veri sorumlularının dikkate alması gereken başlıca hususlar şunlardır:

5.1. Açık Rıza ve Aydınlatma Metinlerini Güncelleyin

Çalışan ve eğitmen fotoğraflarının tanıtım amaçlı kullanımına ilişkin açık rıza metinleri hazırlayın.
Aydınlatma metinlerinde; fotoğrafların hangi mecralarda, hangi süreyle ve hangi amaçlarla kullanılacağını açıkça belirtin.

5.2. Silme/Yok Etme Süreçlerini Netleştirin

İlgili kişinin talebi halinde, fotoğraf ve video gibi görsellerin 30 gün içinde silinmesi veya yok edilmesi için yazılı prosedür belirleyin.
Sosyal medya hesaplarının yönetimi için, kaldırma ve geriye dönük tarama süreçlerini içeren iç yönergeler oluşturun.

5.3. Sosyal Medya Ajansları ve Üçüncü Taraflarla Sözleşmeleri Gözden Geçirin

Reklam ve sosyal medya ajanslarıyla yapılan sözleşmelere, KVKK’ya uygun kişisel veri işleme ve silme/yok etme hükümleri ekleyin.
Ajansların, şirket adına paylaştıkları içeriklerde KVKK ihlali doğurmayacak şekilde hareket ettiklerinden emin olun.

5.4. Çalışan ve Eğitmenlerle İletişimi Güçlendirin

Yeni iş sözleşmesi ve işten ayrılma süreçlerinde, fotoğraf/video kullanımı konusunu özellikle ele alın.
Eski çalışanlardan gelen “fotoğraflarımı kaldırın” taleplerini bir şikâyet değil, risk azaltma fırsatı olarak değerlendirin.

Öneri: Sosyal medya paylaşımı içeren her kampanyada, sadece ticari faydayı değil, aynı zamanda KVKK uyumu ve kişilik hakları boyutunu da değerlendiren çok disiplinli bir onay mekanizması kurulması, uzun vadede ciddi idari para cezalarının ve itibar kaybının önüne geçebilir.

6. Sık Sorulan Sorular (SSS)

İşten ayrılan çalışanın fotoğrafı sosyal medyada kalabilir mi?

Genel olarak hayır, otomatik olarak kalır diyemeyiz. Fotoğrafın kalıp kalamayacağı; hangi hukuki işleme şartına dayanıldığına, ilgili kişinin açık rızasının kapsamına ve veriyi işleme amacının devam edip etmediğine bağlıdır. Çalışan, açıkça kaldırılmasını talep ederse, veri sorumlusu talebi KVKK ve ilgili Yönetmelik kapsamında değerlendirmeli ve çoğu durumda paylaşımları kaldırmalıdır.

“Çalışırken kendi isteğiyle çekime katıldı” demek yeterli midir?

Tek başına yeterli değildir. Kurulun 2021/422 sayılı kararında da görüldüğü üzere, geçmişte isteyerek çekime katılmak, sosyal medyada sınırsız ve süresiz kullanım için genel ve mutlak bir yetki vermez. Amaç, kapsam, süre ve mecralar bakımından açık ve somut bir hukuki dayanak gerekir.

İlgili kişi fotoğraflarının silinmesini isterse ne kadar sürede silinmelidir?

Yönetmelik m.12 uyarınca veri sorumlusu, kişisel verilerin silinmesi veya yok edilmesine ilişkin talebi en geç 30 gün içinde sonuçlandırmalı ve ilgili kişiye bilgi vermelidir. Ayrıca veriler üçüncü kişilere aktarılmışsa, bu kişilere de bildirim yapılmalı ve gerekli işlemler onların nezdinde de yerine getirilmelidir.

Fotoğrafların arka planda ve bulanık olması KVKK’yı devre dışı bırakır mı?

Hayır. Kişinin kimliğinin belirli veya belirlenebilir olması yeterlidir. Kararda da 15.05.2019 tarihli paylaşımda arka planda ve hafif bulanık, 20.05.2019 tarihli paylaşımda ise net şekilde yer alan fotoğraflar değerlendirmeye alınmıştır. Dolayısıyla bulanıklık tek başına yeterli bir anonimleştirme yöntemi olarak görülmemelidir.

Bu karar sadece pilates/fitness sektörü için mi geçerli?

Hayır. Karar, her sektördeki işverenler ve veri sorumluları için genel ilkeler ortaya koymaktadır. Çalışan, eğitmen, öğrenci, müşteri veya herhangi bir gerçek kişiye ait fotoğrafların sosyal medya hesaplarında kullanımı, benzer şekilde KVKK hükümlerine tabidir.

Bu yazı hukuki danışmanlık yerine geçer mi?

Hayır. Bu metin, KVKK Kurulunun 2021/422 sayılı kararını açıklayan bilgilendirme ve özet niteliğinde bir içeriktir. Somut olaylarınız, dava ve şikâyet süreçleriniz veya kampanya planlarınız için mutlaka KVKK alanında uzman hukukçulara ve danışmanlara başvurmanız gerekir.