Kuruma intikal eden şikâyette özetle; ilgili kişinin ücretsiz izne gönderildiğine dair veri sorumlusu tarafından kendisine bir ihtarname iletildiği, söz konusu ihtarnamenin yedi kişiye daha gönderildiği, ihtarnamede T.C. kimlik numarası ve adresinin bulunması nedeniyle ilgili kişinin kişisel verilerinin alenen ifşa edildiği belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle; 

• İlgili kişinin esasen aynı grup şirketine ait başka bir şirketin çalışanı olduğu ve aynı grup şirketi çatısı altında yer almaları nedeniyle taraflarınca, söz konusu şirket çalışanlarının ücretleri ve çalışma süreleri kapsamında bordrolama hizmeti temin edildiği ve çalışanlara yönelik bordro oluşturma ve izin kullanım süreçlerinin denetlenerek bunların kontrol ve takip edilmesi hizmeti sunulduğu,
• COVID-19 pandemisinden dolayı alınan tedbirler kapsamında ücretsiz izin kullanımının iş yerinde zorunlu hale gelmesi nedeniyle istihdamın sonlanmaması ve iş yeri ile personel sağlığının tehlikeye düşmemesi adına, ilgili kişinin, asıl işvereni olan şirket tarafından ücretsiz izne çıkarıldığı ve bu kapsamda ilgili kişinin ad ve soyadı, T.C. kimlik numarası, adres bilgisi ve pandemi nedeniyle ücretsiz izin uygulanmasına dair bilgilerinin ilgili kişinin işvereni olan şirket tarafından kendilerine aktarıldığı,
• İlgili kişi ücretsiz izindeyken, izin süresinin uzatılması kararının kendisine ve onun gibi izinde olan diğer işçilere bildirilmesi için kendilerine telefonla ulaşılmaya çalışıldığı, ancak bu yolla ulaşılamayan işçilerin hem iş yerine gelmelerinde sağlık açısından sakınca bulunması hem de taraflarınca grup şirketlerine sunulan personel izin takip hizmetleri dolayısıyla çalışana noter vasıtasıyla bildirim yapılmasının uygun olacağı düşüncesi ile taraflarının avukatına çalışanın ad ve soyadı, T.C. kimlik numarası, adres ve ücretsiz izin durumuna ilişkin bilgiler gönderilerek ücretsiz izin süresinin uzatıldığının ihtar edilmesinin istendiği, 
• Bildirim yapılacak personel sayısının fazla olması sebebiyle, usul ekonomisi ve noterlikteki işlemlerin en uygun şekilde gerçekleştirilmesi adına avukatları tarafından vekâleten ihtarname düzenlenerek gönderildiği,  noterlik nezdinde yapılan işlemlerde, sair bilgilerin ilgili noterliğe sağlanmasının Noterlik Kanunu ve ikincil mevzuattan kaynaklandığı, ihtarname keşide edilebilmesi için keşidecinin ve muhatabın/muhatapların ad ve soyadı ile T.C. kimlik numaralarının noterliğe sunulmasının, tebligatın sağlıklı yapılabilmesi için yine mevzuat gereğince zorunlu olduğu, bu nedenle birden çok muhatabın yer aldığı ihtarname içerisinde muhatapların bilgilerine yer verildiği ve ilgili kişisel verilerin noterlik ile paylaşıldığı, 
• Yapılan bu işlemin meşru ve açık bir amaca dayalı olduğu, işleme amacı olan ücretsiz izin süresinin takibi ve çalışana bildirim yapılabilmesi amacı ile sınırlı olarak bahse konu verilerin işlendiği, aktarıldığı ve işlendikleri amaçla bağlantılı olmayan bir şekilde kullanılmadığı, veri işleme faaliyetinin ölçülü olduğu ve kişisel verilerin ihtarname keşide edilmesi için noterlik ile paylaşılmasının ilgili kişinin lehine ve izin durumunun bildirilmesine yönelik olduğu,
• İlgili kişiye ait kişisel verilerin, bordrolama destek hizmetleri çerçevesinde ilgili kişinin işvereni olan şirket tarafından kendilerine aktarıldığı ve bu aktarımın hukuki dayanağının 6698 sayılı Kişisel Verilerin Korunması Kanun’unun (Kanun) 5’inci maddesinin (2) numaralı fıkrasının (f) bendi olduğu

ifade edilmiştir. 

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun 07/04/2022 tarih ve 2022/328 sayılı Kararı ile;

• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; “a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uygun olarak işlenebileceği,
• Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
• Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun hükme bağlandığı,
• Diğer yandan 1512 sayılı Noterlik Kanunu’nun “Düzenleme Şeklinde Yapılması Zorunlu İşlemler” başlıklı 89’uncu maddesinde; “Niteliği bakımından tapuda işlem yapılmasını gerektiren sözleşme ve vekaletnamelerle, vasiyetname, mülkiyeti muhafaza kaydı ile satış, gayrimenkul satış va’di, vakıf senedi, evlenme mukavelesi, evlat edinme ve tanıma, mirasın taksimi sözleşmesi ve diğer kanunlarda öngörülen sair işlemler bu fasıl hükümlerine göre düzenlenir.” hükmünün yer aldığı ve yine anılan Kanun’un “Onaylama” başlıklı üçüncü bölümünün “Şekil” başlığını taşıyan 90’ıncı maddesinin; “Hukuki işlemlerin altındaki imzanın onaylanması imzayı atan şahsa ait olduğunun bir şerhle belgelendirilmesi şeklinde yapılır. İmzası onaylanan iş kağıdının aslı ilgilisine verilir ve imzalı bir örneği dairede saklanır. Bu örnek harca tabi değildir.” hükmünü haiz olduğu,
• Somut olayda, veri sorumlusu tarafından ilgili kişinin ve diğer yedi çalışanın bilgilerine aynı ihtarnamede yer verildiğinin görüldüğü ve veri sorumlusu tarafından da bu durumun ikrar edildiği,
• Senetler düzenleme ve onaylama şeklinde hazırlanabilmekle birlikte söz konusu belgenin noterlik tarafından “onaylama” şeklinde gerçekleştirildiğinin görüldüğü ve ilgili kişinin kişisel verilerine ek olarak yedi çalışanın da kişisel verilerinin toplu bir şekilde aynı ihtarnamede yer almasından dolayı her birinin kişisel verilerinin birbirleriyle paylaşıldığının anlaşıldığı,
• İlgili kişinin ve diğer yedi çalışanın kimlik ve iletişim verisinin ihtarnamede yer alması suretiyle ilgili noterlikle paylaşılması Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendinde yer alan “bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” işleme şartı kapsamında yer almakla birlikte söz konusu çalışanların kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. gibi bir işlem yapılmaması sebebiyle ilgili kişinin kişisel verilerinin  diğer çalışanlarla paylaşıldığı ve bu suretle gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan kişisel veri işleme şartlarından herhangi birine dayanmadığı

değerlendirmelerinden hareketle;

• İlgili kişinin kişisel verilerinin yer aldığı ihtarnamenin veri sorumlusu tarafından yedi kişiye daha gönderildiği iddiasına ilişkin olarak; diğer yedi çalışanla birlikte ilgili kişinin kimlik ve iletişim verisinin aynı ihtarnamede yer alması ve söz konusu ihtarname keşide edilirken de herhangi bir şekilde karartma, muhataplara ayrı ayrı keşide etme vb. işlemin yapılmaması nedeniyle ilgili kişinin kişisel verilerinin diğer çalışanlarla paylaşıldığı, bu çerçevede Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmaksızın gerçekleşen kişisel veri işleme faaliyetinin Kanun’un 12’nci maddesinin (1) numaralı fıkrası hükmüne aykırı olduğu değerlendirildiğinden veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 100.000 TL idari para cezası uygulanmasına,
• Diğer taraftan Karar hakkında Türkiye Noterler Birliğine bilgi verilmesine

karar verilmiştir.