Kuruma intikal eden bir ihbarda, veri sorumlusu tarafından İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı gerçekleştirilirken müşterilerin rızası olmadan, ileride eksik evrak cezası almamak için, müşteri pasaport fotoğraflarının çekilerek çalışanlardan oluşturulan bir whatsapp grubunda depolandığı ve üçüncü kişilerle paylaşıldığı, kendisinin de veri sorumlusunun eski bir çalışanı olarak söz konusu gruplara üye olduğu, bu kapsamda söz konusu gruplarda paylaşılan pasaport fotoğraflarının kendi telefonunda da depolandığı ifade edilerek başvuru ekinde söz konusu pasaport fotoğraflarının örneklerine yer verilmiş ve veri sorumlusu nezdinde gerekli denetimlerin yapılması talep edilmiştir.
Başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, veri sorumlusunun avukatı tarafından Kuruma intikal eden cevabi yazıda özetle, Veri sorumlusuna ait iş yerinin bir telekomünikasyon şirketi ile sözleşmesinin olduğu, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için Bilgi Teknolojileri ve İletişim Kurumu (BTK) düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği, mağazada alınan kimlik bilgilerinin telekomünikasyon şirketinin depolama sistemine gönderilmesi nedeni ile çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı, Veri sorumlusuna ait iş yerinin telekomünikasyon şirketi ile olan sözleşme ve kendi prosedürleri gereği 24 saat kamera ile izlendiği, çalışanlara yalnızca şirket bilgisayarı temin edilmekte olduğu ve bu bilgisayarlarda yapılan tüm işlemlerin kamera görüş açısında olduğu, şahsi telefonların mağaza içerisinde kullanımının yasak olduğu, bilgisayarlarda ise telekomünikasyon şirketine ait sisteme giriş için her bir çalışana yalnızca kendisi tarafından bilinen bir kod verilmekte olduğu ve yapılacak her türlü işlemlerden sorumluluğu olduğu konusunda çalışanların bilgilendirildiği, sistemdeki her işlemin telekomünikasyon şirketi tarafından takip ve kontrol edildiği, hat açmak için BTK düzenlemelerine uygun şekilde yeni müşterilere ait pasaport ve kimliklerin taratılarak sisteme yüklendiği, bilgilerin sisteme yüklendikten sonra ancak iş gereği kullanılabildiği, bilgilerin kayıt edilmesinin mümkün olmadığı, sistemin aynı zamanda Emniyet Genel Müdürlüğü’ne de entegre olduğu, mağazada alınan kimlik bilgilerinin telekomünikasyon şirketinin depolama sistemine gönderilmesi nedeni ile şirket çalışanlarının bu bilgilere tekrar ulaşmasının mümkün olmadığı, Hat açma işlemlerinin akabinde müşteri bilgilerinin ve kontratın telekomünikasyon şirketi tarafından incelendiği ve eksik veya yanlış bilgi olması durumunda telekomünikasyon şirketi tarafından ceza kesildiği, veri sorumlusunun prim alabilmesinin yapılan satış adedine ve satışın BTK kurallarına uygun olarak eksiksiz yerine getirilmesine bağlı olduğu, Şikayetçinin veri sorumlusu bünyesinde çalıştığı sırada kişisel verilerin korunması konusunda uyarılmasına rağmen şirketi suçlayıcı gerçeğe aykırı beyanlarda bulunduğu, şikayetçinin dürüstlük kuralına, hukuka ve hakkaniyete aykırı davrandığı, iddiaların asılsız olduğunun yapılacak yerinde inceleme ile kolayca anlaşılabileceği, ilgili telekomünikasyon şirketi tarafından veri sorumlusunun 9000 işleminin incelendiği ve hiçbir usulüz işleme rastlanılmadığı, şikayetçinin müşteri verilerini sisteme doğru işlememesinden doğan cezaların telekomünikasyon şirketi tarafından veri sorumlusuna rücu edildiği
ifade edilmiştir.
Bahse konu savunma üzerine, çalışanlara yönelik verildiği ifade edilen eğitimleri kanıtlayıcı nitelikte belgeler ile eğitimlerin içeriğine ilişkin bilgiler ve yürütüldüğü ifade edilen incelemelere ilişkin raporların birer örneği ile veri sorumlusunca Kanunun 12 nci maddesi kapsamında alınan tüm idari ve teknik tedbirlere ilişkin kanıtlayıcı nitelikte belgelerin Kuruma iletilmesi talep edilmiş olup veri sorumlusunun cevabi yazısında özetle, yeni işe başlayan çalışanlara yazıları ekinde sunulan kitapçığın verildiği, bu kitapçıkta yer alan oryantasyon konularından birinin de “kişisel verilerin korunması” olduğu, eğitimde müşterilerin kişisel verilerinin korunmasına ilişkin bilgilendirmelerin çalışanlara yapıldığı, çalışanların şahsi telefonlarını kullanmalarının yasak olduğu, bu nedenle şahsi telefonlarla fotoğraf çekilmediği ve ilgili kişilere ait kişisel verilerin whatsapp’ta depolanmadığı, telekomünikasyon şirketinin portalı üzerinden yapılan bu işlemlerin veri sorumlusunca saklanmasının mümkün olmadığı belirtilmiştir.
Konuya ilişkin yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 03/02/2021 tarih ve 2021/78 sayılı Kararı ile, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Tanımlar” başlıklı 3 üncü maddesinde, “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, “kişisel verilerin işlenmesi”nin kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi,