Bilgi / Randevu Al

ALMANYA VERİ KORUMA OTORİTESİ – H&M KARARI İNCELEMESİ

Ankara Avukat

ALMANYA VERİ KORUMA OTORİTESİ – H&M KARARI İNCELEMESİ

Dünyaca ünlü İsveçli hazır giyim markası H&M, çalışanlarını yasalara aykırı şekilde izlediği gerekçesiyle 35.258.707,95 Euro ceza aldı. H&M, Almanya'da işçilerini takip etmek için oldukça sert yöntemler kullanmakla suçlanıyordu. İsveçli firma, Genel Veri Koruma Yönetmeliğine (GDPR) uymadığı için mahkemeye çıkmıştı.

Almanya/Hamburg'da bulunan Veri Koruma Yetkili Mercii (HmbBfDI), yaptığı duyuruda firmanın, Nürnberg'de bulunan yüzlerce çalışanını aşırıya kaçan şekilde izlediğine karar verildiğini açıkladı.

Kurumdan yapılan açıklamada, firmanın en azından 2014 yılından bu yana işgücünün belli bir kısmını "özel hayatlarına dair detayları aşırı şekilde kaydettiği" belirtildi. Çalışanların hastalık izni aldıklarında ya da tatile gittiklerinde yöneticilerin "Tekrar Hoşgeldin Konuşması" adı altında çalışanlarıyla görüştüğü ve kişilerin tatil deneyimlerinin, hastalıklarının ve semptomlarının da kaydedildiği belirtildi.

Kurumdan yapılan açıklamalarda ayrıca firma yönetiminin gerek birebir görüşmeler gerekse de şirket içi konuşmalar üzerinde çalışanların özel hayatına dair bilgiler topladığı ifade edildi. Bu bilgilerin bazıları oldukça zararsız bilgiler iken bazıları ailevi durumlar ve dini inançlar gibi hassas noktaları ele alıyordu.

AVRUPA'DA VERİ KORUMAYA İLİŞKİN DÜZENLEMELER

  • 1950-Avrupa İnsan Hakları Sözleşmesi – Madde 8: Aile ve özel yaşamına saygı duyulmasını isteme hakkı – "özel alan" kavramı
  • 1985-Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesi (108 Numaralı Sözleşme)
  • 1995- 95/46/EC Kişisel Verilerin İşlenmesi ve Bu Tür Verilerin Serbest Dolaşımına Dair Bireylerin Korunması Direktifi
  • 2001- Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması Sözleşmesine Ek Denetleyici Makamlar ve Sınıraşan Veri Akışına İlişkin Protokol (181 sayılı ek protokol)

GENERAL DATA PROTECTİON REGULATİON (GDPR)

GDPR, Avrupa Birliği sınırları içerisinde yaşayan herhangi birinin kişisel verilerini toplayan, işleyen ve saklayan tüm veri sorumluları için, veri sorumlusunun nerede bulduğu fark etmeksizin kişisel verilerin paylaşımını ve kullanımını da kapsamak üzere her türlü kişisel veri operasyonunu düzenlenmektedir. Buradan yola çıkarak GDPR'ın, KVKK'nın uygulama alanından farklı olarak, yalnızca doğduğu ülkede (Avrupa Birliği) veri işleyen kişilere değil, aynı zamanda Avrupa Birliği'nde ikamet eden kişilerin verilerini işleyen tüm gerçek ve tüzel kişilere sorumluluk yüklediği söylenebilir.

Bu bakımdan da bir işletme, veri işleme faaliyetini Avrupa Birliği dışında yapıyor ise dahi, Avrupa Birliği'nde ikamet eden kişilerin verilerini işliyorsa, GDPR ile uyumlu hareket etmekle yükümlüdür. Dolayısıyla, Türkiye'de yerleşik bir gerçek kişinin veya tüzel kişinin veri operasyonları yürütmesi söz konusu olduğunda, Avrupa Birliği'nde ikamet eden kişilerin kişisel verilerini işlediği sürece yalnızca KVKK ile uyum içerisinde olması yetmeyip, aynı zamanda GDPR ile de uyumluluk göstermesi gerekmektedir.

KVKK İLE GDPR ARASINDAKİ BAZI FARKLAR

İki düzenleme arasındaki en önemli farklardan biri uygulama alanlarında gözükmektedir. GDPR'a, KVKK ile karşılaştırıldığında daha geniş bir yetki alanı sağlandığı için, Avrupa Birliği sınırlarında yaşayan herhangi birinin kişisel verilerini işleyen tüm şirketler için kendi konumları fark etmeksizin GDPR uyumluluğu ile yükümlülerdir.

Bunun yanı sıra, KVKK'da veri sorumlusu kişisel verilerin işlenmesi, silinmesi ve toplanması süreçlerinde Kişisel Verileri Koruma Kuruluna karşı sorumlu tutulurken, GDPR'da veri sorumlusu yerine, hesap verebilirlik ilkesi doğrultusunda "veri kontrolörü" kavramı getirilmiştir. GDPR kapsamında veri kontrolörü, tüm temel prensiplerden sorumlu tutulmaktadır. KVKK uyarınca veri sorumluları, Veri Sorumluları Sicil Bilgi Sistemi ("VERBİS")'ne kayıt olmakla yükümlüler iken, GDPR da böyle bir kayıt bilgi sisteminden bahsedilmemektedir.

Bir diğer kritik fark ise cezai sorumluluk başlığı altında ortaya çıkmaktadır. KVKK kapsamında öngörülen ceza yükümlülüklerinin üst limiti 1.000.000 TL (son güncel üst limit 9.463.213 TL) olarak belirlenmekte iken, GDPR kapsamında ise cezai yaptırım yıllık küresel cironun %4'üne veya 20.000.000 Euro olarak belirlenmiştir ve hangisi daha yüksek ise o miktar cezai yaptırım olarak uygulanacaktır. Şüphesiz, GDPR hükümlerine tabii tüm şirketlerin böyle büyük cezai yaptırımlardan kaçınmaları için GDPR ile uyumluluk sağlamalarının önemi bu hükümle bir kez daha göz önüne konmuştur.

GDPR Madde 9/1

Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation shall be prohibited.

Irk veya etnik köken, siyasi görüşler, dini veya felsefi inançlar ya da sendika üyeliğinin ifşa edildiği kişisel verilerin işlenmesi ve bir gerçek kişinin kimlik teşhisinin yapılması amacıyla genetik veriler ile biyometrik verilerin, sağlık ile ilgili verilerin veya bir gerçek kişinin cinsel yaşamı veya cinsel eğilimine ilişkin verilerin işlenmesi yasaktır.

GDPR Madde 9/2

  • 1. paragraf aşağıdakilerden birinin geçerli olması halinde uygulanmaz:

    • Birlik veya üye devlet hukuku çerçevesinde 1. paragrafta belirtilen yasağın veri sahibi tarafından kaldırılamayacağına ilişkin bir hüküm sağlanması haricinde, veri sahibinin belirtilen bir veya daha fazla sayıda amaca yönelik olarak söz konusu kişisel verilerin işlenmesine açık bir şekilde rıza göstermesi;

    Birlik veya üye devlet hukuku çerçevesinde ya da üye devlet hukuku uyarınca yapılan ve veri sahibinin temel hakları ve menfaatlerine yönelik uygun güvencelerin sağlandığı bir toplu sözleşme çerçevesinde izin verildiği sürece, kontrolörün veya veri sahibinin istihdam ve sosyal güvenlik ve sosyal hukuku koruma alanındaki yükümlülüklerinin gerçekleştirilmesi ve spesifik haklarının kullanılması amacıyla işleme faaliyetinin gerekmesi;

  • veri sahibinin fiziksel veya hukuki olarak rıza veremeyecek durumda olması halinde, veri sahibi veya başka bir gerçek kişinin hayati menfaatlerinin korunması açısından işleme faaliyetinin gerekli olması;
  • işleme faaliyetinin bir vakıf, birlik veya kar amacı gütmeyen başka bir organ tarafından siyasi, felsefi, dini veya sendika amacıyla uygun güvencelerle birlikte yürütülen meşru faaliyetleri esnasında işlemenin ve yalnızca organın üyeleri veya eski üyeleri ya da amaçlarıyla bağlantılı olarak kendisi ile düzenli olarak temas halinde bulunan kişilerle ilgili olması ve kişisel verilerin veri sahiplerinin rızası olmaksızın söz konusu organ dışında açıklanmaması koşuluyla gerçekleştirilmesi;
  • işleme faaliyetinin veri sahibi tarafından açık bir biçimde kamuya açıklanan kişisel verilerle ilgili olması;
  • yasal iddialarda bulunulması, bu iddiaların uygulanması veya savunulması açısından veya mahkemeler kendi yargı yetkisi çerçevesinde hareket ettiğinde, işleme faaliyetinin gerekmesi;
  • gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınması adına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak kayda değer ölçüde kamu yararı adına nedenlerden ötürü işleme faaliyetinin gerekmesi;
  • koruyucu hekimlik veya meslek hekimliği amaçları doğrultusunda, Birlik ya da üye devlet hukukuna dayalı olarak veya bir sağlık profesyoneli ile yapılan sözleşme uyarınca ve 3. paragrafta atıfta bulunulan koşullar ve güvencelere tabi olarak çalışanın çalışma kapasitesinin değerlendirilmesi, tıbbi tanı, sağlık veya sosyal bakım hizmetlerinin veya tedavinin sağlanması ya da sağlık veya sosyal bakım sistemleri ve hizmetlerinin yönetilmesi açısından işleme faaliyetinin gerekli olması;
  • özellikle mesleki gizlilik olmak üzere veri sahibinin hakları ve özgürlüklerine ilişkin güvence sağlanmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, sağlığa yönelik ciddi sınır ötesi tehditlere karşı koruma sağlanması veya sağlık hizmetleri ve tıbbi ürünler ya da tıbbi cihazlara ilişkin yüksek kalite ve emniyet standartları sağlanması gibi halk sağlığı alanında kamu yararına yönelik olarak işleme faaliyetinin gerekmesi;
  • gözetilen amaçla orantılı olan, veri koruma hakkının özüne saygı gösteren ve veri sahibinin temel hakları ve menfaatlerinin güvence altına alınmasına uygun ve spesifik tedbirler sağlayan Birlik veya üye devlet hukukuna dayalı olarak, 89(1) maddesi uyarınca kamu yararına yönelik arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar doğrultusunda işleme faaliyetinin gerekmesi.

GDPR Madde 9/3

İlk paragrafta atıfta bulunulan kişisel veriler Birlik ya da üye devlet hukuku kapsamındaki mesleki gizlilik yükümlülüğü veya ulusal yetkin organlar tarafından konan kurallara tabi olarak bir profesyonel tarafından veya söz konusu profesyonelin sorumluluğu altında ya da Birlik ya da üye devlet hukuku kapsamındaki mesleki gizlilik yükümlülüğü veya ulusal yetkin organlar tarafından konan kurallara tabi olarak başka bir kişi tarafından işlendiğinde, söz konusu veriler 2. paragrafın (h) bendinde atıfta bulunulan amaçlara yönelik olarak işlenebilir. (koruyucu hekimlik veya meslek hekimliği…)

6698 sayılı KVKK'da gerçekleşen son değişikliklerle birlikte "Özel Nitelikli Kişisel Verilerin İşlenme Şartları" açısından GDPR ile yakınlaşma söz konusudur. KVKK'da meydana gelen değişikliklere ilişkin değerlendirmemiz ayrıca değerli okurlarımızın takdirine sunulmuştur.

GDPR Madde 9/4

Üye Devletler genetik veriler, biyometrik veriler veya sağlık ile ilgili veriler ile alakalı olarak sınırlamalar da dahil olmak üzere ek koşullar uygulamaya devam edebilir ya da ek koşullar getirebilir.

GDPR Madde 24

Kontrolör, işleme faaliyetinin mahiyeti, kapsamı, bağlamı ve amaçlarının yanı sıra gerçek kişilerin hakları ve özgürlükleri açısından çeşitli olasılıklar ve ciddiyetlere sahip riskleri dikkate alarak, işleme faaliyetinin bu Tüzük uyarınca gerçekleştirilmesini sağlamak ve bu şekilde gerçekleştirildiğini gösterebilmek için uygun teknik ve düzenlemeye ilişkin tedbirler uygular. Bu tedbirler gözden geçirilir ve gerektiğinde, güncellenir.

İşleme faaliyetleri ile ilgili olarak ölçülü olması halinde, 1. paragrafta atıfta bulunulan tedbirler kontrolör tarafından uygun veri koruma politikalarının uygulanmasını kapsar.

40. maddede atıfta bulunulan onaylı davranış kuralları veya 42. maddede atıfta bulunulan onaylı belgelendirme mekanizmalarına uygun hareket edilmesi kontrolörün yükümlülüklerine uygunluğun gösterilmesine ilişkin bir unsur olarak kullanılabilir

DEĞERLENDİRMELER

  • Çalışanlarla yapılan görüşmeler resmi bir dayanaktan yoksun olarak gerçekleştirilmiştir.
  • Yüzlerce çalışanın özel hayatlarına ilişkin bilgiler sistematik olarak toplanmıştır.
  • Gayri resmi olarak toplanan veriler çalışanların sağlık durumları, ailevi sorunları, dini inançları gibi bilgileri içermekteydi.
  • Bu durumun, şirketin organizasyon ağında birkaç saat boyunca devam eden teknik bir arızanın ardından açığa çıktığı anlaşıldı.
  • Kararda "Herhangi bir sebebe dayanmaksızın veri işlenemeyeceği" çok net bir şekilde belirtilmektedir.
  • Verilen cezanın miktarı ise GDPR'a tabi olan veri sorumlulularına yönelik keyfi veri işleme faaliyetlerinin sonuçları ile ilgili caydırıcılığa sahiptir.
  • GDPR'da yer alan veri işleme ilkeleri ve özellikle de GDPR madde 9 ve devamında düzenlenen özel nitelikli verilerin işlenmesine ilişkin düzenlemeler incelendiğinde, dayanaksız veri işleme faaliyetine ilişkin cezanın yerinde olduğu kanaatindeyim.

Anasayfa Ekibimiz Hizmetlerimiz Makaleler İletişim Gizlilik
ACU Hukuk Bürosu 2020 | Tüm hakları saklıdır.