Bilindiği üzere kişisel verilerin işlenmesine ilişkin uygulamalar Kişisel Verileri Koruma Kurulu’nun (“Kurul”) denetiminde olup, Kurul tarafından verilen çeşitli kararlar bulunmaktadır.

Kurul tarafından verilen ve iş yaşamındaki yaygın uygulamalardan birini ilgilendiren bir karar, iş başvurularında başvurucuların çeşitli şekillerde ilettikleri bilgilerin, başvurunun olumsuz sonuçlanması ile başvurucunun işe alınmaması durumunda ilettiği bilgilerin işlenmesine ilişkindir.

Kurul’un 2021/670 numaralı kararına göre özetle, “ilgili kişinin veri sorumlusuna (işe giriş başvurusu yapılan işyeri/işveren) yaptığı iş başvurusunun olumsuz sonuçlanması sonrası kişisel verilerinin (yasal düzenlemelerde sayılı meşru bir gereklilik olmaksızın) işlenmeye (muhafazay) devam etmesi” kişisel verilerin korunmasına ilişkin yasal düzenlemelere aykırı bulunmuştur.

Şöyle ki, karara konu olayda, iş başvurusu yapan kişi, işveren (veri sorumlusu) tarafından kurulmuş olan internet sitesi üzerinden iş başvurusunda bulunurken (Kişisel Verilerin Korunması Kanununun 10. maddesine uygun şekilde kendisine gerekli aydınlatmalar yapılarak) kişisel verilerini içerir bilgileri veri sorumlusuyla paylaşmış, bunu takiben alındığı mülakat sonucunda başarılı olamayarak işe alınmamıştır. Bunun üzerine başvurucu, veri sorumlusuyla kişisel verilerini paylaşması için bir neden kalmadığı gerekçesi ile söz konusu internet sitesine girerek oluşturduğu özgeçmişi silmiş ve akabinde veri sorumlusunun sisteminde kalan tüm kişisel verilerinin silinmesi amacıyla telefon ve e-posta yoluyla veri sorumlusuna başvuruda bulunmuştur. Ancak bu başvuru üzerine veri sorumlusu tarafından e-posta yoluyla yapılan bilgilendirmede, ilgilinin kişisel verilerinin veri sorumlusuna yapacağı olası başvurular için saklanacağı belirtilmiş; başvurucunun ikinci bir talep ile veri sorumlusuna ilişkin herhangi bir iş talebi, bu işveren ile ilgili herhangi bir kariyer planı ve olası iş başvurusu olmayacağını belirtmek suretiyle ilgisi ya da ilişiği olmadığını iletmesine rağmen kişisel verilerinin veri sorumlusu tarafından tamamen silinmeyerek başvurucunun (ad, soyad ve kimlik numarası ile veri sorumlusunun başvuru değerlendirilmesine esas genel gerekçesinden ibaret) bir kısım kişisel bilgileri muhafazaya devam edilmiştir.

İşveren tarafından bu noktaya ilişkin yapılan savunmada, verilerin muhafaza edilmesindeki amacın ise iş başvurusunda bulunan kişilerin, reddedilen başvuru sonrasındaki dönemlerde yapacakları iş başvurularının değerlendirmesinde, önceki başvurusunun da dikkate alınabilmesi olduğu, böylece sonraki başvurularda gerçeğe aykırı verilerle karşılaşmanın önüne geçilmesinin amaçlandığı, bu şekilde veri sorumlusunun ‘‘meşru menfaati’’ çerçevesinde depolanmaya devam edileceği ve bu saklama amacının ilgili kişinin Kanunun 11. maddesi (İlgili Kişinin Hakları) uyarınca yaptığı başvurusunda ilgili kişiye iletildiği belirtilmiştir.

Ancak, başvurucuya iletilen bu gerekçeye karşın ilgili kişi ikinci başvurusunda, ad, soyad, ve kimlik bilgisi verilerinin de silinmesini talep etmişse de, bu talep üzerine özel bir veri imhası uygulanmayarak, başvurucuya ait ad, soyad ve kimlik bilgilerinin de silinmesi kararının alındığı ancak bunların ilk periyodik imha işleminde silineceği bilgisi verilmiştir.

Buna karşın yapılan şikayet üzerine inceleme yapan Kurul, Kanun’da sayılı belirli istisnalar dışında “kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği”ni belirtmesini takiben,

Kanunun, “Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi” başlıklı 7. maddesinin “(1) Bu Kanun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması halinde kişisel veriler resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silinir, yok edilir veya anonim hale getirilir.” hükmünü içerdiği;

buna ilişkin “Kişisel Verilerin Silinmesi Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğin (“Yönetmelik”) kişisel verilerin silinmesine ilişkin 8. maddesinin (1) numaralı fıkrasında kişisel verilerin silinmesinin, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlandığı”;

Yönetmeliğin, ‘‘Kişisel verileri ilgili kişinin talep etmesi durumunda silme ve yok etme süreleri’’ başlıklı 12. maddesinde, ilgili kişinin, Kanunun 11. ve 13. maddelerine istinaden veri sorumlusuna başvurarak kendisine ait kişisel verilerin silinmesini veya yok edilmesini talep ettiğinde, kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa, veri sorumlusunun talebe konu kişisel verileri en geç 30 gün içinde silmesi, yok etmesi veya anonim hale getirmesi gerektiği vurgulanarak,

bu kapsamda, iş başvurusunun kabul edilmemesi ile birlikte Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birinin devam etmediği göz önünde bulundurulduğunda, ilgili kişinin verilerinin tamamının silinmesi talebine karşın veri sorumlusunun bahse konu verileri ilk periyodik imhada dikkate alacağına yönelik açıklamasının veri sorumlusunun söz konusu menfaate ulaşılabilmesi bakımından kişisel veri işlenmesinin zorunluluk arz etmediğinin bir göstergesi olduğu, kişisel verinin işlenmesi sonucunda elde edilecek menfaat ile ilgili kişinin temel hak ve hürriyetlerinin yarışabilir düzeyde olmadığı, ilgili kişinin verilerinin saklanması hususunda veri sorumlusunun meşru menfaatinin açık ve belirli olmadığı,

ilgili kişinin veri sorumlusuna yaptığı iş müracaatının olumsuz sonuçlanması üzerine veri sorumlusu tarafından işlenen kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından önce kısmen kabul görerek ad, soyad ve kimlik bilgilerinin işlenmesine devam edilmesi, sonrasında ise ilgili kişinin veri sorumlusuna aynı çerçevede yaptığı ikinci başvurusu sonucunda yapılan değerlendirmede de verilerin imha politikası çerçevesinde gerçekleştirilecek ilk periyodik imha sürecinde imha edileceği kararının alınmasının, kişisel verilerin korunması mevzuatı ve uygulamalarına aykırılık teşkil ettiği sonucuna vararak, ilgili kişinin talebi üzerine söz konusu verilerin, talebin ulaşmasını takiben en geç otuz (30) gün içinde silinmemiş olması nedeni ile idari para cezası uygulanmasına karar verilmiştir.

Kurul tarafından verilen bu karar dikkate alınarak, iş başvuruları amacı ile başvurucular tarafından iletilen kişisel verilerin, veri sahibi kişinin işyerinde istihdam edilmemesi durumunda, veri sahibi kişi tarafından bir talep iletilmese dahi veri imha politikası kapsamında ve işe alınmama kararını takiben en geç altı ay içinde, veri sahibi tarafından talep iletilmesi durumunda ise bu talebin alınmasını takiben en geç otuz gün içinde imha edilmesi ve bu kapsamda amacı olmayan veri saklama/işleme faaliyetinde bulunulmaması gerekliliğine dikkat edilmesi gerekmektedir.

Saygılarımızla,

LEV HukukBürosu

Not: Bu yazı içeriğinde yayımlanan her türlü haber, bilgilendirme notu ve yazı kişiye özel veya genel hukuki danışmanlık niteliğinde olmayıp, yalnız Hukuk Büromuzca belirlenen çeşitli konulara ilişkin genel hukuki bilgilendirme yazısı niteliğindedir. Burada yayımlanan herhangi bir haber, bilgilendirme notu veya yazı içeriğinin Hukuk Büromuzca kişiye özel danışmanlık sunulması hariç kişiler tarafından özel uygulamalara temel alınması ile bunların sonuçlarından Hukuk Büromuzun herhangi bir sorumluluğu yoktur. Bu yazıya ilişkin tüm haklar saklıdır.