Countdown For Compliance with Turkish Data Protection Law
Natural or legal persons who process personal data under the Law on Personal Data Protection with no. 6698 (“DPL”) must register to the Data Controllers’ Registry (“VERBIS”) prior to start of data processing. Data controllers that currently process personal data under the DPL, must also register to VERBIS before 31 December 2021.
VERBIS registration is mandatory for:
· Data controllers located out of Turkey, but collets and processes personal data (Foreign Controllers),
· Data controllers located in Turkey with 50 or more employees and an annual turnover of more than TRY 25.000.000 (approximately USD 2.500.000), or
· Data controllers located in Turkey with the core business of processing sensitive personal data (such as hospitals, doctors, insurance companies) *(certain exemptions apply to attorneys, notary publics etc. and they are not required to register regardless of the turnover and employee number)
This article is formed as a Q&A and focuses on the Representative Appointment and Registration Requirement of Foreign Controllers.
1- What is a foreign controller?
A data controller (a legal or real person which determines the purposes for which and the means by which personal data is processed) that is not located within the borders of the Republic of Turkey.
2- Which foreign controllers are within the scope of the Representative Appointment and Registration requirements?
Foreign controllers that collect personal from Turkey or process personal data collected from Turkey are within the scope of the requirements which will be detailed below.
3- Who can be a Representative in Turkey?
Any Turkish legal person or Turkish real person residing in Turkey can be appointed as the Representative to represent the Foreign Controller in Turkey. This requirement is similar to Art. 27 of the GDPR.
4- What are the authorities of the Representative?
The Representative will be the contact point for the Controller for any communication between the Authority and the Controller. Further, the Representative will also be the contact point for the data subject requests.
The representative must be vested with the authorities below;
· Receive and accept, on behalf of the Data Controller all types of correspondence and notifications sent by the Authority,
· Convey the requests sent from the Authority to the Data Controller and to convey the response from Data Controller to the Authority,
· Receive requests and applications by data subjects that is directed to Data Controller and convey such requests and applications to Data Controller,
· Convey the response of Data Controller to data subjects,
· Conduct all works and transactions on behalf of Data Controller regarding the Data Controllers’ Registry (VERBIS)
5- How to appoint a Representative in Turkey
The Representative can be appointed with an Appointment Letter/Decision that is executed abroad. The Appointment Letter/Decision must contain the following;
· Legal name and the address of the Controller,
· Legal name and the address of the Representative,
· Authorities provide to the Representative,
· Date of the Appointment Letter/Decision,
Further, please be informed that the Appointment Letter must be signed by the authorized persons of the Controller. The signed Appointment Letter must be notarized in the place of signing. Further, the notarized document must be apostilled as well in line with the Hague Convention.
The Representative will further legalize the document once the original notarized and apostilled document is received.
6- Are there any other requirements?
The privacy policy/notice must contain information about the identity of the Controller as well as the Representative. Therefore, the name and a method to contact the Representative must be provided in the privacy notice.
7- What is the procedure regarding registration requirement?
Foreign controllers can only register after appointing a Representative.
Once the Representative is appointed, the Representative will enter the information of the Foreign Controller and the Representative on Data Controllers Registry (VERBIS - verbis.kvkk.gov.tr)
After filling in the initial information such as address, contact information, the registration must be completed by filing the Records of Processing into VERBIS.
Therefore, the following information will be provided in the VERBIS using the VERBIS interface;
· Data Categories,
· Data Subject Categories,
· Purposes of Processing,
· Recipient Groups,
· International Transfers,
· Retention Time,
· Technical and Administrative Measures,
· Information regarding international transfers.
8- What is the deadline to complete the steps above?
31 December 2021
9- What is the risk of failing to comply with the requirements above?
An administrative fine of up to TRY 1.966.862 (approx. USD 193.000) may be imposed. This fine amount will be subject to an increase in 2022 depending on the revaluation percentage which is expected to be around %36, making the administrative fine up to USD 262.000.
Further, please note that it is also possible for the DPA to decide to restrict the data processing operations of the controller.
Turkish DPA Publishes Guideline on Biometric Data
Turkish Personal Data Protection Authority (“DPA”) published the Guideline on Matters To Be Considered When Processing Biometric Data (“Guideline“) on 17 September 2021. Within the scope of this Guideline, the purpose and importance of the Turkish Law on the Protection of Personal Data (“DPL”) is reminded in accordance with the framework of the fundamental rights and freedoms of individuals, especially the “privacy of private life”. Also, the scope of special categories of personal data has been expressed and the biometric data was defined.
One important aspect to point out at the beginning is that, when defining the biometric data in the Guideline, DPA refers to the EU’s General Data Protection Regulation. In this respect, data must meet the following conditions to be considered as biometric data:
·Distinctive features of the individual, such as physiological, physical or behavioral characteristics, should be ascertained from the data processing,
·The ascertained features must be personal data that serve to identify the individual or verify the individual’s identity.
Within the scope of these criteria, the DPA has defined biometric data as data that people cannot forget, generally do not change for a lifetime and can be obtained effortlessly without the need for any intervention. Through the use of biometric data, it becomes easy to distinguish individuals from each other and the possibility of confusion is almost completely eliminated.
In this context, biometric data is divided into two categories as physiological and behavioral data. While biometric data such as fingerprint, retina, palm, face, hand shape and iris constitute physiological biometric data; biometric data such as the person's walking style, the way he/she presses the keyboard and driving style constitute behavioral biometric data.
In the Guidelİne, by referring to its previous decisions, the DPA states that each case must be evaluated individually. In order to make sure that the Guideline is useful, the DPA examines "Biometric Data Processing Principles" and "Biometric Data Security" in detail.
Biometric Data Processing Principles
1-The data controller can process biometric data in accordance with the general principles set forth in Article 4 and the conditions set forth in Article 6 of the DPL, but in accordance with the principles set forth below. In this context;
·Biometric data processing activities are also subject to the fundamental rights and freedoms regime and the processing activity should not violate the essence of fundamental rights and freedoms.
·The method must be suitable for achieving the purpose of processing, and the data processing activity must be suitable for the purpose to be aimed.
·The biometric data processing method must be necessary for reaching the objective. Biometric data processing must be mandatory and necessary. If there is a less intrusive way to achieve such purpose, processing would be deemed as unnecessary.
·In each concrete case, “proportionality” must be evaluated. Proportionality is choosing the most suitable means of processing if there are more than one means.
·It is necessary to keep data for as long as necessary, and after the necessity ceases, data must be destroyed without delay/immediately.
·Data controllers are required to fulfill their obligation to inform data subjects within the purpose of processing in accordance with Article 10 of the DPL.
·If explicit consent is required, the explicit consent of the data subjects must be obtained in accordance with the DPL. According to the DPL, consent must be an “explicit/active declaration of intent” and must be (i) relevant to the particular subject for which data are processed, (ii) informed, and (iii) freely given. Also, it must not be presented as a prerequisite for the provision of a service.
The DPA recommends documenting compliance with the above-mentioned issues. Further, the DPA states that choosing the right kind of biometric data is also important and the reasons behind choosing a specific biometric data type(s) over others must be documented. Lastly, the DPA states that while collecting biometric data, genetic data should not be collected unless strictly necessary.
Biometric Data Security
In addition to these principles, the DPA provides the organizational and technical measures to provide security of biometric data in the Guideline. In this regard, it is stated that the measures that specified in the DPA’s “Adequate Measures to be taken by Data Controllers in the Processing of Sensitive Personal Data” decision numbered 2018/10 and dated 31/01/2018 must be taken. Also, additional measures that are specific for processing of biometric data were set forth.
1- Technical Measures
·Biometric data should be stored in cloud systems only by using cryptographic methods. The encryption and key management policy should be clearly defined.
·Derived biometric data should be stored in a way that does not allow the recovery of the original biometric feature.
·Before installing the system and after any changes, data controller should test the system through synthetic data (unreal) in the test environments to be created.
·Measures that warn the system administrator against unauthorized access and/or report and delete biometric data should be implemented.
·Data controller should use certified equipment, licensed and up-to-date software in the system, prefer open-source software and make the necessary updates in the system in a timely manner.
·The lifetime of devices that process biometric data should be monitored.
·Data controller should be able to monitor and limit user actions on the software.
·Hardware and software tests of the biometric data system should be done periodically.
2- Organizational Measures
·An alternative system should be provided for individuals who do not use the biometric solution (handicap situation that makes it difficult to use, impossible to save or read biometric data etc.).
·An action plan should be established in case of failure to authenticate with biometric methods.
·Access mechanism to biometric data systems of authorized persons should be established, managed and those responsible should be identified and documented.
·Relevant personnel must be trained, and the training must be documented.
·A formal reporting procedure should be established in order to report possible security vulnerabilities and threats that may arise as a result of such vulnerabilities.
·An emergency procedure to be implemented in the event of a data breach should be established and announced.
Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber
Kişisel Verilerin Korunması Kurumu (“Kurum”), 17 Eylül 2021 tarihinde Biyometrik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber (“Rehber”) yayımlamıştır. İşbu Rehber kapsamında, “özel hayatın gizliliği” başta olmak üzere, bireylerin temel hak ve özgürlükleri çerçevesinde, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) amacı ve önemi tekrardan hatırlatılmıştır. Aynı zamanda, özel nitelikli kişisel verilerin kapsamından bahsedilerek biyometrik verinin Kanun’daki yerine işaret edilmiştir.
Kurum, kararlarında olduğu gibi Rehber’de de biyometrik veriyi tanımlarken Avrupa Birliği Genel Veri Koruma Tüzüğü’ne (GDPR) atıf yapmış ve bir kişisel verinin biyometrik veri olarak kabul edilebilmesi için aşağıdaki şartları taşıması gerektiğini ifade etmiştir:
· Veri işleme sonucunda kişinin fizyolojik, fiziksel veya davranışsal özellikleri gibi ayırt edici özellikleri ortaya çıkarılmalı,
·Ortaya çıkarılan özellikler, kişinin kimliğini tanımlamaya yarayan ya da kişinin kimliğini doğrulayan kişisel veriler olmalıdır.
Bu kriterler çerçevesinde, Kurum biyometrik verileri, kişilerin unutmasının mümkün olmadığı, genelde ömür boyu değişmeyen ve herhangi bir müdahaleye gerek olmaksızın zahmetsiz bir şekilde sahip olunan veriler olarak tanımlamıştır. Biyometrik verilerin kullanılması sayesinde kişilerin birbirlerinden ayırt edilmeleri kolay bir hale gelmekte ve birbirleriyle karıştırılma ihtimalleri neredeyse tamamen ortadan kalkmaktadır.
Bu kapsamda biyometrik veriler, fizyolojik nitelikli ve davranışsal nitelikli olmak üzere ikili ayrıma tutulmuştur. Kişinin parmak izi, retinası, avuç içi, yüzü, el şekli, irisi gibi biyometrik verileri fizyolojik nitelikli biyometrik verileri oluşturmakta iken; kişinin yürüyüş biçimi, klavyeye basış biçimi, araba sürüş biçimi gibi biyometrik verileri ise davranışsal nitelikli biyometrik verileri oluşturmaktadır.
Rehber’de, bu hususa ilişkin Kurum’un önceki tarihli kararlarına atıf yapılarak, her somut olay çerçevesinde yorum yapılmasının öneminden bahsedilmiştir. Rehber’in yol gösterici olması adına hazırlandığı belirtilerek “Biyometrik Veri İşleme İlkeleri” ve “Biyometrik Veri Güvenliği” detaylıca incelenmiştir.
Biyometrik Veri İşleme İlkeleri
1-Veri sorumlusu, Kanun’un 4. maddesinde düzenlenen genel ilkelere ve 6. maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda biyometrik verileri işleyebilir. Bu kapsamda;
·Biyometrik veri işleme faaliyetleri de temel hak ve özgürlükler rejimine tabiidir ve işleme faaliyeti temel hak ve özgürlüğün özüne dokunmamalıdır.
·Başvurulan yöntemin işleme amacına ulaşılabilmesi bakımından elverişli olması, veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması gerekmektedir.
·Biyometrik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması gerekmektedir. Bu noktada özellikle, biyometrik veri işlemenin zorunlu ve gerekli olduğundan bahsetmek gerekir. Eğer aynı amaca, daha az müdahaleci bir yol ile ulaşılabilmesi mümkünse biyometrik veri işlemenin gerekli olduğu söylenemez.
·Yapılacak somut olay değerlendirmesinde, “orantılılık” incelemesi yapılmalıdır. Birden fazla aracın bulunduğu durumda en uygun olan aracın seçilmesi, orantılılığı ifade etmektedir.
·Verilerin gerektiği süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin/derhal imha edilmesi gerekmektedir.
·İşleme amacı doğrultusunda sınırlı olmak üzere; veri sorumlularının Kanun’un 10. maddesine uygun bir biçimde aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir.
·Açık rızanın gerekmesi halinde ilgili kişilerin açık rızalarının Kanun’a uygun şekilde alınmış olması gerekmektedir. Bu kapsamda rızanın kişinin olumlu irade beyanını içermesi ve (i) Belirli bir konuya ilişkin olması, (ii) Rızanın bilgilendirmeye dayanması, (iii) Özgür iradeyle açıklanması gerekmektedir. Aynı zamanda bir hizmetin sunumu için ön şart olarak sunulmamalıdır.
Kurum, yukarıda sayılan hususlara uyulduğunun belgelenmesini tavsiye etmektedir. Buna ek olarak Kurum biyometrik veri türü seçiminin de önemi üzerinde durmuş ve hangi biyometrik veri türünün hangi sebeple seçildiğinin de belgelenmesi gerektiğini ifade etmektedir.
Son olarak, Kurum, biyometrik verilerin işlenmesi durumunda, eğer gerçekten gerekmiyor ise genetik veri toplanmaması gerektiğini belirtmektedir.
Biyometrik Veri Güvenliği
İşbu ilke ve prensiplere ek olarak, biyometrik veri güvenliğinin sağlanmasına ilişkin idari-teknik tedbirler de Rehber’de açıklanmıştır. Bu kapsamda Kurum’un “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e ilişkin 31/01/2018 tarihli ve 2018/10 sayılı kararında belirtilen tedbirlerin alınmasının zorunlu olduğu belirtmekle beraber biyometrik veri işleme hususuna ilişkin spesifik tedbirler de öngörülmüştür.
1- Teknik Tedbirler
·Biyometrik veriler, bulut sistemlerinde ancak kriptografik yöntemler kullanılarak saklanmalıdır. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
·Türetilmiş biyometrik veriler, orijinal biyometrik özelliğin yeniden elde edilmesine izin vermeyecek biçimde saklanmalıdır.
·Veri sorumlusu, sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
·Yetkisiz erişime karşın sistem yöneticisini ikaz eden ve/veya biyometrik verileri silen ve rapor veren önlemler uygulanmalıdır.
·Veri sorumlusu, sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, öncelikli olarak açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
·Biyometrik veriyi işleyen cihazların kullanım ömrü izlenebilir olmalıdır.
·Veri sorumlusu, biyometrik veriyi işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
·Biyometrik veri sisteminin donanımsal ve yazılımsal testleri periyodik olarak yapılmalıdır.
2- İdari Tedbirler
·Biyometrik çözümü (biyometrik verilerin kaydedilmesi veya okunması imkansız, kullanımı zorlaştıran handikap durumu, vb.) kullanmayan kişiler için alternatif bir sistem sağlanmalıdır.
·Biyometrik yöntemlerle kimlik doğrulamanın yapılamaması durumunda gerçekleştirilecek bir eylem planı oluşturulmalıdır.
·Yetkili kişilerin biyometrik veri sistemlerine erişim mekanizması kurulmalı, yönetilmeli ve sorumluları belirlenerek belgelendirilmelidir.
·İlgili personel özel eğitim almalı ve eğitim belgelendirilmelidir.
·Muhtemel güvenlik zafiyetlerinin ve söz konusu zafiyetler sonucu oluşabilecek tehditlerin bildirilebilmesi için resmi bir raporlama prosedürü oluşturulmalıdır.
·Veri ihlali durumunda uygulanmak üzere acil durum prosedürü oluşturmalı ve ilan edilmelidir.
Consumer Rights Regarding Electronic Communication Sector
The procedures and principles for protecting consumer rights and interests in the electronic communication sector are regulated by the Regulation regarding the Rights of Consumers in the Electronic Communication Sector. It is required to reorganize the consumer rights and operator obligations as a result of the current needs arising from the changes made in the consumer rights legislation and the developments in the electronic communication sector. In this regard, yhe Information Technologies and Communication Authority (“ICTA”) published the Draft Regulation on the Amending the Regulation regarding the Rights of Consumers in the Electronic Communication Sector (“Draft Regulation“)
With the Draft Regulation, additional obligations for the operators and new rights are regulated for real or legal persons who are party to a contract made with an operator for the provision of electronic communication services defined as a subscriber. The regulations bring the following amendments:
Under the obligation of transparency and information, the operator will be obliged to ensure that the subscriber can easily access the traffic management actions that affect the service of the subscriber. In addition, those who want to benefit from electronic communication services will be able to compare operator offers over the e-Devlet system. If a call is made that may be charged other than the tariff it is registered, a free information announcement about the fee and the scope of the service must be given. A request for removing the mentioned announcement may be forwarded to the operator by the subscriber.
For the subscription agreements, contracts must be established in writing or electronically in compliance with the Regulation on Identity Verification. While the origins of the identity document or equivalent documents for the establishment of the subscription agreement are requested, a copy of the relevant documents will be also requested. The requested copies will be transferred to the operator's information systems in such a way that they are permanently recorded to be associated with the date and time information and the transaction performed.
Also, the operator will present an understandable summary of the contract to the consumer as a separate page before the contract is concluded, then it obtains the approval. A copy of the contract summary will be sent to the consumer by the operator on paper or electronically.
As stated in the Draft Regulation, the charging of the service will begin with the actual delivery of the service to the subscriber. In addition to this, it is essential that the subscriber lines are closed to international roaming services, and their lines are made available to these services with a provable declaration of the subscribers.
Regarding the committed subscriptions, the validity period of the commitment, the service and device characteristics subject to the commitment, the monthly price of the tariff without commitment, the discounted monthly price, the price of the device and the monthly device fee, all other amounts that may be subject to the withdrawal fee, and the calculation method of the fee to be paid by the subscriber in case the commitment is terminated before the deadline should be made available to the subscriber. The commitment period determined between the operator and the subscriber cannot exceed twenty-four (24) months. Proposals for the new commitment can be submitted up to forty (40) days prior to the expiry date of the current commitment.
The operators must perform the service uninterruptedly, except there is any force majeure. Otherwise, the situations that the service may be limited and stopped are regulated. In a reasonable time before the service is restricted or stopped, subscribers must be informed via text message, call or voice response system.
In case the service is stopped because the invoice is not paid on the due date, no service fee is charged to the subscriber, excluding the device fee and radio usage/license fee, as of the date the service is stopped. After the payment is made, the service continues within twenty-four hours at the latest. In the event that the service is stopped, the termination of the contract can be made at least 3 months after the suspension, unless otherwise requested by the subscriber.
However, it is expressly stated that subscription agreements can always be terminated free of charge, except for a committed subscription. After the termination, the operator will be able to send the last invoice to the subscribers who owe debts for the remaining receivables within two months at the latest after the termination request date of the subscriber.
The process of receiving the opinions of the public regarding the Draft Regulation has been completed, and the work continues on the side of the ICTA to finalize the Draft Regulation.
Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları
Elektronik haberleşme sektöründe tüketici hak ve menfaatlerini korumaya yönelik usul ve esaslar Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği ile belirlenmektir. Tüketici hakları mevzuatında gerçekleştirilen değişiklikler ve elektronik haberleşme sektöründe yaşanan gelişmeler sonucu ortaya çıkan güncel ihtiyaçlar sonucunda tüketici haklarının ve işletmeci yükümlülüklerinin yeniden düzenlemesi gerekmiştir. Bu amaçla Bilgi Teknolojileri ve İletişim Kurulu (“BTK”) “Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliğinde Değişiklik Yapılmasına Dair Yönetmelik Taslağı” (“Taslak Yönetmelik”) yayınlamıştır.
Taslak Yönetmelik ile işletmecilerin uyması gereken ek yükümlülükler ve elektronik haberleşme hizmetinin sunumuna yönelik olarak yapılan bir sözleşmeye taraf olan gerçek ya da tüzel kişilere yeni haklar düzenlenmiştir. Yapılan düzenlemeler şu yenilikleri getirmektedir:
Şeffaflık ve bilgilendirme yükümlülüğü altında, işletmeci, abonenin hizmetini etkileyen trafik yönetimi uygulamalarına da abonenin kolayca ulaşabilmesine sağlamakla yükümlü olacaktır. Ayrıca, e-Devlet sistemi üzerinden, elektronik haberleşme hizmetinden faydalanmak isteyen kişilerin sorgulama yaparak işletmeci tekliflerini karşılaştırabilmelerine imkân sağlanacaktır. Kayıtlı olduğu tarife dışında ücret yansıtılabilecek bir arama gerçekleştirilmesi halinde, ücret ve hizmetin kapsamı hakkında ücretsiz bilgilendirme anonsu verilmesi gerekecektir. Abone tarafından söz konusu anonsun kaldırılması yönünde talep, işletmeciye iletilebilir.
Abonelik sözleşmelerinin kuruluşu ve içeriğine ilişkin olarak ise; sözleşmelerin, yazılı olarak veya elektronik ortamda Kimlik Doğrulama Yönetmeliği hükümlerine göre kimlik doğrulaması yapılarak kurulması gerektiği ifade edilmektedir. Abonelik sözleşmesinin kurulması için gerekli kimlik belgesi veya muadili belgelerin aslının ibrazı istenmekle birlikte ilgili belgelerin sureti de istenecektir. İstenen suretler, doğrudan işletmecinin kendi bilişim sistemlerine, üzerine kalıcı olarak tarih ve saat bilgisi ve gerçekleştirilen işlem ile ilişkilendirilecek şekilde kaydedilecektir.
Aynı zamanda, işletmeci, sözleşme kurulmadan önce ayrı bir sayfa şeklinde tüketiciye kolay ve anlaşılabilir bir sözleşme özeti sunacak ve onayını alacaktır. Sözleşme özetine ilişkin belgenin bir nüshası işletmeci tarafından tüketiciye kâğıt üzerinde ya da elektronik ortamda sözleşmenin kurulumu ile geçerli olacak şekilde iletilecektir.
Taslak Yönetmelikte belirtildiği üzere, abonelik sözleşmesinin kurulmasını müteakip, hizmete ilişkin ücretlendirme, hizmetin aboneye fiilen sunulmasıyla başlayacaktır. Aynı zamanda, abone hatlarının, uluslararası dolaşım hizmetine kapalı olması esas olup, abonelerin ispatlanabilir irade beyanı ile hatları bu hizmetlere açık hale getirilecektir.
Taahhütlü abonelere ilişkin olarak ise taahhüdün geçerlilik süresi ile taahhüt konusu hizmet ve cihaz nitelikleri, tarifenin taahhütsüz aylık fiyatı, indirimli aylık fiyatı, cihazın bedeli ve aylık cihaz ücreti, cayma bedeline konu olabilecek diğer tüm tutarlar ve taahhüdün süresinden önce sonlandırılması durumunda abonenin ödeyeceği bedelin hesaplanma yöntemi aboneye sunulmalıdır. Ayrıca, işletmeci ile abone arasında belirlenen taahhüt süresi yirmi dört (24) ayı geçemez. Yeni taahhüde ilişkin teklifler mevcut taahhüdün bitiş tarihinden azami kırk (40) gün önce sunulabilir.
Hizmetin sunumuna ilişkin olarak; işletmecilerin mücbir sebepler dışında hizmeti kesintisiz olarak sürdürmesi esastır. Buna karşılık, hizmetin kısıtlanabileceği veya durdurulabileceği haller ayrıca düzenlenmiştir. Hizmet kısıtlanmadan veya durdurulmadan makul bir süre öncesinde aboneler kısa mesaj, arama veya sesli yanıt sistemi yöntemlerinden biri ile abonenin bilgilendirilmesi gerekmektedir.
Faturanın son ödeme tarihinde ödenmemesi nedeni ile hizmetin durdurulması durumunda, hizmetin durdurulduğu tarihten itibaren aboneye cihaz ücreti ve telsiz kullanım/ruhsatname ücreti hariç herhangi bir hizmet bedeli yansıtılamayacaktır. Ödeme yapıldıktan sonra en geç yirmi dört saat içinde hizmetin sunumuna devam edilmelidir. Hizmetin durdurulması halinde, abone tarafından aksi talep edilmedikçe, sözleşmenin feshi, durdurmayı müteakip asgari 3 ay sonra gerçekleştirilebilecektir.
Bununla birlikte, açıkça belirtilmiştir ki taahhütlü abonelik dışında abonelik sözleşmeleri her zaman ücretsiz olarak sona erdirebilecektir. Fesih işleminden sonra işletmeci geri kalan alacakları için borcu olan abonelere abonenin fesih talep tarihinden sonra en geç iki ay içinde son fatura gönderebilecektir.
Taslak Yönetmelik’e ilişkin kamuoyunu görüşlerinin alınması süreci tamamlanmış olup, Taslak Yönetmelik’in son halini alması için BTK tarafında çalışmalar devam etmektedir.
Turkish DPA’s WhatsApp Decision
On 03.09.2021 the Turkish Data Protection Authority (“DPA”), made a public announcement regarding the ex officio investigation of WhatsApp LLC (“Controller”) and published an important decision discussing the data processing and data transfer operations of the Controller. The Turkish Personal Data Protection Board’s (“Board”) decision w. no 2021/891 dated 03.09.2021 is very important and must be reviewed in detail since it shows the approach of the Board in international transfers and direct collection of personal data from Turkey by controllers that are not established in Turkey (“Foreign Controllers”).
Background
In January 2021, WhatsApp updated its privacy policy and terms and requested the users in Turkey to accept such updated terms by February 8th , 2021. WhatsApp also informed the users in Turkey that those who do not accept the updated terms by February 8th, 2021, would no longer be able to use the service. The updates consisted of WhatsApp to share data with other group companies. This update by WhatsApp has been discussed widely by the general public in Turkey, criticized by legal professional and discussed in live news tv shows.
As a result of such attention given to the updates of WhatsApp by the public, the DPA and the Competition Authority initiated ex officio investigations against WhatsApp in January 2021.
Announcement by DPA and Board’s Decision
In the announcement by the DPA, the DPA stated that an ex officio investigation on WhatsApp within the scope of paragraph 1 of Article 15 of the Law on the Protection of Personal Data numbered 6698 (“DPL”) was started to investigate the issues of data transfer abroad, the explicit consent presented as a pre-condition of service, compliance with general principles of the DPL and others.
As a result of the examination of the response and defense letters received from WhatsApp; Terms of Service and the Privacy Policy offered to the users by the data controller, the Board evaluated the following;
· Although it is stated by the Controller that the data processing is based on several statutory legal basis in the DPL and the explicit consent is only used in exceptional cases, because the Terms are defined as an agreement that is entered into with the user by requesting the approval of the user to the Terms, this means that Controller relies on the explicit consent obtained through the Terms. This explicit consent, on the other hand, is not in line with the DPL since a single explicit consent is obtained from the users for the processing of their personal data and transfer of their personal data abroad to third parties, without providing any option. The processing and transfer activities are presented to the data subject in a single text which damages the required free will element of the explicit consent.
· The terms regarding “transfer” in the Terms of Service and Privacy Policy by the data controller are non-negotiable, and the data subject is forced to provide a consent to the contract as a whole. Thus, transfer has become a pre-condition for providing the service, which is contrary to the “lawfulness and fairness” principle.
· Explicit consent is requested for all processed personal data however such data are not relevant, limited and proportionate to the purposes for which they are processed and the purposes for transfer of such data are not disclosed transparently in the relevant texts. In this respect, Controller’s acts are contrary to the principle of “being processed for specified, explicit and legitimate purposes” and “being relevant, limited and proportionate to the purposes for which they are processed”.
· The element of "free will " of the explicit consent has been damaged since the processing of personal data is indicated as a part of the contract and is presented as a pre-condition of the service.
· All processing activities executed on personal data (such as recording, storing, transferring) after obtaining such data from data subjects in Turkey means that the personal data are being transferred abroad since the servers are not located in Turkey. Therefore, such transfer must be in compliance with Article 9 of the DPL which regulates the conditions for transferal of personal data.
· The Controller did not obtain explicit consent from the data subjects regarding the personal data processing activity to be carried out through cookies for profiling purposes, and the personal data processing activity carried out within this scope is also not in accordance with DPL.
In this regard, pursuant to Article 12/1 of the DPL, the Board decided that an administrative fine of TRY 1.950.000 (approx. USD 16.271.160), which is the highest possible administrative fine under the DPL, shall be imposed on the data controller for failing to take the necessary technical and administrative measures to prevent the unlawful processing of personal data.
Additionally, the Board instructed the Controller to;
· Comply with DPL in 3 months with regards to Terms of Service and Privacy Policy dated 04.01.2021 to inform data subject correctly as it has appeared that these documents are being presented to users as the valid version
· Inform data subjects by complying with DPL’s Article 10 and Communique on Principles and Procedures to Be Followed in Fulfillment of The Obligation to Inform, as the Privacy Policy is being used as a privacy notice and does not carry necessary elements of a valid privacy notice
· Inform the Board regarding stated processes.
WhatsApp has the right to object against the decision before a court of law in Turkey.
Important Lessons to be learned from the WhatsApp Decision
1- DPA’s approach on direct collection and subsequent processing by foreign controllers: Any subsequent processing operation (such as storing, transfer etc.,) on personal data collected from Turkey, if performed in servers located outside Turkey, is an international transfer of personal data and is subject to Art. 9 of the DPL.
Pursuant to Art. 9 of the DPL, personal data can be transferred from Turkey to abroad if;
- Explicit consent of the data subject is obtained
- An undertaking signed by Data Exporter and Data Importer that is subject to DPA’s approval is obtained
- Transfer to a country that is listed in the DPA’s safe countries list (The DPA is authorized to publish this list but has not done so).
- BCR – subject to DPA’s approval (The DPA did not approve any BCRs to this date)
Therefore, foreign controllers must comply with Art. 9 of the DPL prior to any subsequent processing.
2- Privacy Policies: The Board criticizes WhatsApp since the Privacy Policy of WhatsApp is not a Privacy Notice that is in line with the DPL Art. 10 and the relevant Communique.
Therefore we recommend that instead of using revised/edited Privacy Policies prepared under the GDPR or other legislation, a specific privacy notice should be prepared and used for Turkey.
3- Explicit Consent: The Board once again points out that explicit consent must be specific, and it should not be bundled and a blanked explicit consent must not be obtained (i.e. explicit consent for transfer to third parties and explicit consent to process personal data must be separate).
Further, explicit consent must be based on freewill of the data subject. Explicit consent must not be a pre-condition of provision of the service.
COMMITMENT LETTER APPLICATION FOR TRANSFER OF PERSONAL DATA ABROAD
The conditions of the transfer of personal data abroad are regulated under Turkish Data Protection Law w. no 6698 (“DPL”). One of the conditions is that in the case that one of the conditions of processing data stated in DPL exists and the country where personal data are to be transferred does not provide adequate protection, data controllers in Turkey and the relevant foreign country shall sign a commitment letter on adequate protection and get approval of the Turkish Data Protection Authority (“DPA”). The DPA, for the first time since it started operating, announced two approval of commitment letters on 9 February 2021 and on 4 March 2021. Regarding approval of the commitment letters, on 07 May 2020 DPA published the announcement explaining “the Matters to Be Considered in the Commitment Letter to Be Prepared in the Transfer of Personal Data Abroad” and the issue was discussed in Wednesday Seminar of DPA on 24 March 2021. Under these evaluations, procedural and material issues of commitment letter applications are determined by the DPA.
A) Procedural issues of commitment letter applications are:
1) Name, surname, address, signature, and the document certifying the signature authorization of authorized person to file application must be included for natural person data controllers. In this respect, the applications of the legal entities must made by persons who have authority to represent and bind with the documents certifying it. If the application is filed by proxy, the original power of attorney or its notarized/attorney certified copy must be included.
2) The last pages of the commitment letter and Annex 1 must be signed and stamped, and each signatory must initialize each pages.
3) To show the authorization of signatories, signatory circular’s original or certified copy must be annexed for companies located in Turkey. For transferer companies located other countries that are party of 1961 Lahey Convention, original or certified copy of apostilled document stating signatory authorization must be included. Each document prepared by the official authorities of the countries that are parties to the aforementioned Convention must be apostilled.
4) Notarized translation of each document must be included in foreign language.
5) While the commitment letter is being prepared, the required provisions stipulated in templates published on the DPA’s website must be added. If additional provisions are to be added, they must be presented under the title “Additional Provisions”.
6) The commitment letter applications must be prepared in line with the DPL instead of GDPR.
The commitment sentences must be formed using future tense.
After the applications are reviewed in scope of the procedural perspective by the DPA, they are examined in scope of the material issues.
B) Material issues of commitment letter applications are:
1) The relationship between the parties of the transfer must be determined properly. According to characteristics of the transferee party, the proper commitment letter template published on the DPA’s website must be used.
2) Detailed understandable explanations regarding the legal status of parties must be provided and document such as agreement, protocol that stipulates the relation between them must be sent with the commitment letter application.
3) The terminology of the DPL must be followed, and the definitions must be in accordance with the DPL and secondary legislations.
4) The interrelated issues must be presented in together with sufficient explanations.
5) Transfer of personal data abroad based on explicit consent cannot be issue of the commitment.
6) The general principles stipulated in the DPL should be observed while issuing the commitment letter and its annexes.
C) Matters to be considered in the explanations under the titles in ANNEX-1 are:
1) Data subject group and groups
“Data subject group or groups” are specified clearly without ambiguous expressions.
2) Data categories
While specifying the “Data categories”, the principle of “being relevant, limited and proportionate to the purposes for which they are processed” must be observed. While expressing data categories, ambiguous and broad expressions should not be used, and the data categories must be presented in understandable details.
The personal data to be transferred must be correlated with the title "Data subject group and groups” and clearly stated which data categories belong to which data subject groups. Also, any ambiguous expressions must not be included.
3) Purposes of transfer
The purposes of transfer must be explained by correlating with the title “Data categories”. Additionally, the limits of the purpose of processing personal data in the relevant section should be explained in specific and clearly understandable detail under the principle that is being processed for specified, explicit and legitimate purposes.
4) Legal basis of transfer
The legal basis of personal data transfer which is subject to the commitment letter must be set forth separately in justified and understandable detail by establishing a correlation with the of "Data categories". In this respect, the legal basis stipulated in the DPL must be shown.
5) Recipient and recipient groups
DPL does not permit the onward transfer which is data transfers from the transferee to any other data controller or data processor located in a foreign country. However, onward transfer to governmental authorities is accepted under the scope of the transferee’s legal obligation. So, if the governmental authorities can be identifiable, these authorities must be specified.
6) The technical and organizational measures that will be taken by the receiver
While preparing this section, the Guideline on Technical and Organizational Measures published by the DPA must be considered. The technical and organizational measures that are committed must be set forth separately and the certifying documents must be included.
7) Additional measures which are taken for Special Categories of Personal Data
While preparing this section, the compulsory technical and organizational measures stipulated in Resolution of the DPA dated 31 January 2018 and numbered 2018/10 regarding "Adequate Measures to be Taken by Data Controllers in the Processing of Special Categories of Personal Data” must be taken, and the certifying documents must be included.
8) VERBIS information of the transferer
If the data controller is not obliged to registry with VERBIS, the reason must be explained. Otherwise, VERBIS information of data controller must be specified.
9) Additional useful information
Retention periods and other information which are not subject of other titles are issued under this section. Processing retention must be specified as showing at least the maximum period and the reason. If legislation determines the retention period, the legislation and related provisions must be specified.
10) Contact person’s contact details
11) The titles of “Data Controller” and “Data Processor” stipulated in commitment letter template for “Transfer to Data Processor from Data Controller”
The fields of activity of the data controller and the data processor must be explained, and the explanations regarding the data transfer of the data controller and the processing activities to be performed by the data processor after the transfer must be presented in clear detail.
12) The title “Processing Activities” stipulated in commitment letter template for “Transfer to Data Processor from Data Controller”
The processing activities of transferee should be set forth in understandable detail and clarity.
YURT DIŞINA AKTARIM İÇİN HAZIRLANAN TAAHHÜTNAME BAŞVURUSU
Kişisel verilerin yurt dışına aktarım şartları, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında düzenlenmektedir. Bu şartlardan birisi de yine Kanun’da yer alan işleme şartlarından birinin varlığı ve kişisel verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunmaması durumunda, Türkiye'deki ve ilgili yabancı ülkedeki veri sorumluları tarafından yeterli koruma için yazılı taahhütte bulunulması ve Kişisel Verilerin Korunması Kurumu (“Kurum”) tarafından bu taahhütnameye onay verilmesidir. Kurum faaliyet göstermeye başladığından beri ilk olmak üzere, 9 Şubat 2021 ve 4 Mart 2021 tarihlerinde iki adet taahhütnamenin onayını açıklamıştır. Ayrıca, taahhütnamelere ilişkin olarak “Kişisel Verilerin Yurt Dışına Aktarılmasında Hazırlanan Taahhütnamelerde Dikkat Edilmesi Gereken Hususlar” başlıklı konuya 07 Mart 2020 tarihinde Kurum’un sitesinde yer alan kamuoyu duyurusunda yer verilmiş ve Kurum tarafından gerçekleştirilen 24 Mart 2021 tarihli Çarşamba Semineri'nde ele alınmıştır. Bu değerlendirmeler kapsamında, taahhüt mektubu başvurularında usule ve esasa ilişkin dikkat edilmesi gereken hususlar belirlenmiştir.
A) Usule ilişkin dikkat edilmesi gereken hususlar şunlardır:
1) Gerçek veri sorumlusu tarafından başvuru dosyasına, başvuruya yetkili kişinin adı, soyadı, adresi, imzası ve imza yetkisini gösteren belge dahil edilmelidir. Tüzel kişiler adına yapılan başvuruların ise, başvurucunun yetkisini tasdik eden belgelerle temsil ve ilzam yetkisine sahip kişilerce yapılması gerekmektedir. Başvuru vekil tarafından yapılırsa, vekâletnamenin aslı veya onaylı kopyası dahil edilmelidir.
2) Taahhütname ve EK-1’in sonunda imza ve kaşe; diğer sayfaların her birinde ise imzalayanların parafları bulunmalıdır.
3) İmza sahiplerinin yetkisini göstermesi bakımından Türkiye'de yerleşik şirketler için, imza sirkülerinin aslı veya onaylı sureti eklenmiş olmalıdır. Veri aktarımı yapılan ülkenin 1961 Lahey Sözleşmesine taraf olması durumunda, imza yetkisini belirten ve apostil şerhi içeren belgenin aslı veya onaylı kopyası dahil edilmelidir. Anılan Sözleşmeye taraf olan ülkelerin resmi makamları tarafından hazırlanan her belge apostil şerhi içermelidir.
4) Yabancı dildeki her belgenin noter onaylı çevirisi bulunmalıdır.
5) Taahhütname hazırlanırken, Kurum’un resmi internet sitesinde yayımlanan Taahhütname örneklerinde yer alan hükümlere asgari olarak aynen yer verilmeli, ilave hükümlere yer verilecek olması halinde ise, bu hükümlere “İlave Hükümler” başlığı altında ayrıca yer verilmelidir.
Taahhüt içeren cümlelerde gelecek zaman kullanılmalıdır.
Başvuruların KVKK tarafından usule ilişkin incelemesinden sonra esasa ilişkin incelemeye geçilir.
B) Esasa ilişkin dikkat edilmesi gereken hususlar şunlardır:
1) Aktarımın tarafları arasındaki ilişki doğru bir şekilde belirlenmeli ve buna göre Kurum sitesinde yayımlanan Taahhütname örneklerinden uygun olan kullanılmalıdır.
2) Aktarımlarda tarafların hukuki statülerine ilişkin anlaşılır detayda açıklamalara yer verilmesi ve aradaki ilişkiyi gösteren tevsik edici herhangi bir belgenin (sözleşme vb.) bulunması halinde Taahhütname ile gönderilmesi gerekmektedir.
3) Kanunda yer alan terminoloji birebir kullanılmalı, yapılacak tanımlar Kanunda ya da ikincil düzenlemelerde yer alan tanımlarla uyumlu olmalıdır.
4) Birbiriyle ilişkili başlıklar arasında yeterli açıklamalar yapılarak bağ kurulmalıdır.
5) Açık rıza şartına dayalı gerçekleştirilecek olan yurt dışı kişisel veri aktarımları Taahhütname konusu edilmemelidir.
6) Kanunda sayılan genel ilkelere veri işleme faaliyetinin tüm süreçlerinde uyulması gerekmektedir.
C) EK-1’de yer alan başlıklar altında yer verilen açıklamalarda dikkat edilmesi gereken hususlar şunlardır:
1) Veri konusu kişi grubu ve grupları
“Veri konusu kişi ve kişi grupları” belirtilirken muğlak ifadelerin kullanımından kaçınılmalı; veri konusu kişi grubu ve grupları net bir şekilde ortaya konulmalıdır.
2) Veri kategorileri
“Veri kategorileri” belirlenirken, “İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesine riayet edilmelidir. Veri kategorileri ifade edilirken muğlak, anlaşılması zor ve geniş ifadelerden kaçınılmalı, kategoriler anlaşılır detayda ortaya konulmalıdır.
Aktarılacak kişisel verilerin, “Veri konusu kişi grubu ve grupları” başlığı ile bağ kurularak, bu başlık altında sayılan kişi gruplarından hangisine ait olduğu açıkça belirtilmeli ve herhangi bir muğlak ifadeye yer verilmemelidir.
3) Veri aktarımının amaçları
Veri aktarımının amaçları, “Veri Kategorileri” başlığında belirtilen veri kategorileri ile bağ kurularak açıklanmalıdır. Kişisel verilerin belirli, açık ve meşru amaçlar için işlenmesi prensibi altında, kişisel verilerin işlenme amacı sınırları belirli ve açık bir şekilde anlaşılır detayda açıklanmalıdır.
4) Veri aktarımının hukuki sebebi
Taahhütnameye konu kişisel veri aktarım faaliyetinin Kanunda belirtilen kişisel veri işleme şartlardan hangisine dayalı olarak gerçekleştirildiğinin; “Veri Kategorileri” başlığı altında yer verilecek unsurlar ile bağ kurularak, ayrı ayrı gerekçeli ve anlaşılır detayda ortaya konulması gerekmektedir.
5) Alıcı ve alıcı grupları
Kanuna göre, yurt dışındaki alıcı gruptan sonraki devam eden aktarıma (“onward transfer”) izin verilmemektedir. Ancak, alıcı grubun hukuki yükümlülükleri gereğince yetkili kamu kurum ve kuruluşlarına onward transfer mümkün olmakla beraber, eğer bu yetkili kurum ve kuruluşlar belirlenebiliyorsa, bunların açıkça ortaya konulması gerekmektedir.
6) Veri alıcısı tarafından alınacak teknik ve idari tedbirler
İlgili bölüm düzenlenirken, “Teknik ve İdari Tedbirler Hakkında Rehber”in dikkate alınması, taahhüt edilen teknik ve idari tedbirlerin ayrı başlıklar halinde açıklanarak, bu tedbirlere ilişkin tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir.
7) Özel Nitelikli Kişisel veriler için alınan ek önlemler
İlgili bölüm düzenlenirken, Kişisel Verileri Koruma Kurulunun 31 Ocak 2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” başlıklı kararı ile belirlenen ve özel nitelikli kişisel verilerin işlenmesi sırasında alınması zorunlu olan teknik ve idari tedbirlere yer verilmesi ve söz konusu tedbirleri tevsik edici belgelerin de başvuruya eklenmesi gerekmektedir.
8) Veri aktaranın Veri Sorumluları Sicil Bilgi Sistemi (VERBİS) Bilgileri
Kayıt yükümlülüğünün bulunmaması halinde bu husus gerekçesi ile birlikte, kayıt yükümlülüğünün bulunması halinde ise VERBİS bilgileri bu kısımda açıklanmalıdır.
9) Ek faydalı bilgiler
Saklama süreleri ve ilgili diğer bilgilere bu başlık altında yer verilecek olup; kişisel verilerin işlenme süresinin en azından azami süreyi gösterecek şekilde gerekçesine de yer verilmek suretiyle belirtilmesi gerekmektedir. Mevzuattan kaynaklı bir sürenin mevcut olması durumunda, sürenin hangi mevzuat hükmüne dayandırıldığının belirtilmesi gerekmektedir.
10) İrtibat kişisi iletişim bilgileri
11) “Veri Sorumlusundan Veri İşleyene Aktarım” başlıklı Taahhütname örneği EK-1’de yer alan “Veri Sorumlusu” ve “Veri İşleyen” başlıkları
Bu başlıklar altında yapılacak açıklamalarda veri sorumlusu ve veri işleyenin faaliyet alanlarının açıklanması ile veri sorumlusunun veri aktarımına, veri işleyenin ise aktarım sonrasında gerçekleştireceği işleme faaliyetlerine ilişkin açıklamaların anlaşılır detayda ortaya konulması gerekmektedir.
12) “Veri Sorumlusundan Veri İşleyene Aktarım” başlıklı Taahhütname örneği EK-1’de yer alan “İşleme faaliyetleri” başlığı
Aktarılan kişisel verilerin ne tür bir işleme faaliyetine tabi tutulacağı anlaşılır detayda ve netlikte ortaya konulmalıdır.
Personal Data Protection Regarding Employment Relation and Vaccination Agenda
The purpose of the Law No. 6698 on the Protection of Personal Data (“Law No. 6698”) is to protect fundamental rights and freedoms of persons, particularly the right to privacy, with respect to processing of personal data and to set forth obligations, principles and procedures which shall be binding upon natural persons or legal entities who process personal data. The provision of this Law applies to natural persons whose personal data are processed and to natural persons or legal entities processing such data wholly or partially by automated means or by non-automated means which provided that form part of a data filing system. In this article, the processing activities carried out by employers as data controllers will be evaluated based on the employers' processing of employees’ personal data as part of a data filing system.
Within the scope of the Law No. 6698, the concept of employment relationship is evaluated more broadly. Regardless of the type of their employment contract, all employees, including persons working with an employment contract, employee candidates and those whose employment contract has expired are accepted as data subjects within the scope of the Law No. 6698. At this point, although the subject of all rights and responsibilities attributed to the data controller and data subjects within the scope of the Law No. 6698 is the employer and employee candidate/employee and persons whose employment relations have terminated, the issues that differ in terms of employment relation will be addressed.
First of all, the most important feature that distinguished the employment relationship from other situations is the issue of "loyalty to the employer". The issue of "loyalty", which is the most important detail that distinguishes the employee from other data subjects within the scope of Law No. 6698, shows that the position of the employee necessitate the more protection pursuant to the Labor Law and the Supreme Court decisions. Also, the subject of dispute in most of the settled labor lawsuits is whether the employee made the relevant action (resignation, relocation etc.) with their own free will. For this reason, the issues against the employer within the scope of the employment relationship are detailed in the legal regulations rather than being left to the choice of the employees. This situation is also very important within the scope of Law No. 6698, because one of the legal reasons for the processing of personal data is regulated as "explicit consent". Another thing is that "explicit consent" may be the only preferable reason for legal compliance in the processing of "special categories of personal data". Within the scope of the Law No. 6698, there are 3 elements of explicit consent and they are as follows:
-
relevant to the particular subject for which data are processes,
-
informed,
-
freely given
However, as explained above, asking for the explicit consent of people who work “loyally” to an employer to process their data is questionable. Because it is both problematic and quite difficult to prove that the will of the employee was freely given while making the said decision. The same situation exists for employee candidate or an employee whose employment contract has terminated. In this relationship where there are financial concerns, the free will, which is one of the elements of explicit consent, will not be possible in most cases or it may be a matter of discussion. On the other hand, many employers would like to process various categories of their employees’ personal data under projects that will serve their workplace’s operations that may necessitate the explicit consent.
Accordingly, first of all, it is necessary to evaluate the conditions for processing personal data that employers can apply for the purposes they want to reach. In this evaluation, the conditions for processing personal data that are " Processing of personal data of the parties of a contract is necessary, provided that it is directly related to the establishment or performance of the contract" and "Processing of data is necessary for the legitimate interests pursued by the data controller, provided that this processing shall not violate the fundamental rights and freedoms of the data subject" often constitute sufficient legal ground for the processing of the relevant data without seeking explicit consent. On the other hand, anonymization of personal data, especially for special categories of personal data, provides an alternative to employers without seeking the "explicit consent" for the processing of personal data. However, in some cases this is not possible, and it may be necessary to process special categories of personal data without anonymization.
In particular, both the Covid-19 tests and health reports became an important part of the agenda during the pandemic period. Since all kinds of data related to the health of the person, including the drugs used, the diseases they had or the vaccinations they had, are considered as special categories of personal data, more special and stricter conditions are regulated regarding the processing of these data. In this context, the major matter in the processing of special categories of personal data is to provide the conditions which are data subject’s explicit consent or being permitted by laws. On the other hand, pursuant to Article 6/3 of the Law No. 6698, personal data concerning health and sexual life may only be processed, without seeking explicit consent of the data subject, by the persons subject to secrecy obligation or competent public institutions and organizations, for the purposes of protection of public health, operation of preventive medicine, medical diagnosis, treatment and nursing services, planning and management of health-care services as well as their financing. Therefore, for the situations where the employees' health data needs to be processed, instead of applying for their explicit consent, it is possible for the employer to rely on this regulation.
Especially after a major part of the society was approved to receive the Covid-19 vaccine, an important agenda for employers is the processing vaccinated employees' related data. According to the Ministry of Health's statements, the Covid-19 vaccine has not been declared mandatory. Therefore, in principle, employers cannot be forced to get vaccinated and it must be accepted that they have a right to choose. On the other hand, employers have the obligation to maintain a healthy and safe environment in the workplace. Therefore, the related data can be processed by the employers for the purpose of meeting this obligation and regulating the workplace restrictions. However, if employers would not like to seek explicit consent due to above-mentioned risks regarding the validity of explicit consent in the employment relationship, Article 6/3 of the Law No. 6698 is applicable. The most important thing is that the related data must be collected/processed through a workplace or an assigned doctor. Also, it is important that any department except the workplace/assigned doctor cannot access such data. As so, the health data of the employee can be processed without seeking the explicit consent and only with a prior notice. If workplace restrictions are based on the results of this processing activity and some information needs to be shared with other departments, these data should not be related to the details of the health data of identified or identifiable persons. To make this possible, the health data detail can be kept confidential, or the health data can be anonymized. When mentioned methods are followed, processing employees' Covid-19 vaccine data should be in compliance with the Law No. 6698.
İş İlişkilerinde Kişisel Verilerin İşlenmesi ve Aşı Gündemi
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“6698 sayılı Kanun”) amacı, kişisel verilerin işlenmesinde, başta özel hayatın gizliliği olmak üzere, kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir. Bu kanun, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanmaktadır. Bu makalede, işverenlerin bir veri kayıt sisteminin parçası olacak şekilde işçilerin verilerini işlemesine istinaden işverenlerin veri sorumlusu sıfatıyla gerçekleştirdiği işleme faaliyetleri değerlendirilecektir.
6698 sayılı Kanun kapsamında iş ilişkisi kavramı daha geniş değerlendirilmektedir. İş sözleşmesi ile çalışanlar, çalışan adayları ve iş sözleşmesi sona erenler de dahil olmak üzere, iş sözleşmesi çeşitleri arasında bir fark gözetilmeksizin çalışan kişiler Kanun kapsamında ilgili kişi sıfatına haizdir. Bu noktada, 6698 sayılı Kanun kapsamında veri sorumlusuna ve ilgili kişilere atfedilen bütün hak ve sorumlulukların süjesinde işveren ve çalışan adayı/çalışan ve iş ilişkileri sona ermiş kişiler de yer almakla beraber, iş ilişkisi özelinde farklılaşan hususlara değinilecektir.
Öncelikle, çalışma ilişkisini diğer durumlardan ayıran en önemli özellik "işverene bağlılık" hususudur. İşçiyi de 6698 sayılı Kanun kapsamında diğer ilgili kişilerden ayıran en önemli detay olan "bağlılık" hususu hem İş Kanunu'nda hem Yargıtay kararlarında işçinin konumunun daha korunmaya muhtaç olduğunu göstermektedir. Aynı zamanda, karara bağlanmış çoğu iş davasındaki uyuşmazlık konusu, işçinin ilgili işlemi (istifa, yer değişikliği vb.) özgür iradesi ile yapıp yapmadığıdır. Bu sebeple, iş ilişkisi kapsamında özellikle işveren aleyhinde olan hususlar işçilerin seçimine bırakılmaktansa hukuki düzenlemelerle detaylandırılmıştır. Bu durum, 6698 sayılı Kanun kapsamında da oldukça önemli bir yere sahiptir; çünkü kişisel verilerin işlenmesinde hukuka uygunluk sebeplerinden birisi "açık rıza" olarak düzenlenmiştir. Bununla birlikte, "özel nitelikli kişisel veriler"in işlenmesinde "açık rıza" bazen tercih edilebilecek tek hukuka uygunluk sebebi olabilmektedir. 6698 sayılı Kanun kapsamında açık rızanın 3 unsuru bulunmakta olup bunlar şu şekildedir:
-
Belirli bir konuya ilişkin olması,
-
Rızanın bilgilendirmeye dayanması,
-
Özgür iradeyle açıklanması.
Ancak yukarıda da açıklandığı üzere, işverene “bağlılık”la çalışan kişilerin verilerini işlemede açık rızalarına başvurmak oldukça sorunlu niteliktedir. Çünkü çalışanın iradesinin söz konusu kararı verirken özgür olduğu hem tartışmalı hem de ispatı oldukça zordur. Aynı durum, bir çalışan adayında veya iş sözleşmesi sona ermiş bir çalışanda da mevcuttur. Maddi kaygıların olduğu bu ilişkide, açık rızanın üç unsurundan biri olan özgür iradenin sağlanması çoğu olayda mümkün olmayacak veya tartışma hususu haline getirilebilecektir. Buna karşın, birçok işveren işyerinin faaliyetlerine hizmet edecek projeler altında çalışanlarının çeşitli kategorideki kişisel verilerini işlemek istemektedir.
Dolayısıyla, öncelikle işverenlerin gerçekleştirmek istedikleri amaçlara yönelik başvurabilecekleri hukuka uygunluk sebeplerinin somut olaya göre değerlendirilmesi gerekmektedir. Bu değerlendirmede “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” hukuki sebepleri çoğu zaman, açık rızaya gerek kalmaksızın, ilgili verilerin işlenmesi için yeterli hukuka uygunluk sebeplerini oluşturmaktadır. Öte yandan, özellikle özel nitelikli kişisel verilerin işlenmesinde, verilerin anonimleştirilmesi de kişisel verilerin işlenmesi hususunda işverenlere “açık rıza”ya başvurmalarını gerektirmeyen bir alternatif sağlamaktadır. Ancak, bazı durumlarda bu mümkün olamamakta ve özel nitelikli kişisel verilerin anonimleştirilmeden işlenmesi gerekebilmektedir.
Özellikle pandemi döneminde, hem Covid-19 testleri hem de sağlık raporları gündemin önemli bir parçası haline gelmiştir. Özel nitelikli kişisel veri olması nedeniyle, kişinin kullandığı ilaçlar, geçirdiği hastalıklar veya olduğu aşılar dahil olmak üzere sağlığına ilişkin her türlü verinin, işlenmesine ilişkin daha özel ve sıkı koşullar düzenlenmiştir. Bu kapsamda, özel nitelikli verilerin işlenmesinde asıl olan, açık rıza veya kanunla izin verilmiş olma şartının sağlanmasıdır. 6698 sayılı Kanun’un 6/3’üncü maddesi kapsamında sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilmektedir. Dolayısıyla, çalışanın sağlık verilerinin işlenmesi gerektiği durumlarda, açık rıza almak yerine, işverenin yükümlülükleri kapsamında bu düzenlemeye dayanmak mümkün olmaktadır.
Toplumun büyük bir kısmının Covid-19 aşısı kapsamına alınmasından sonra ise aşı yaptıran çalışanların buna ilişkin verilerinin işlenmesi işverenler için önemli bir konu olmuştur. Sağlık Bakanlığı'nın açıklamalarına göre COVID-19 aşısını yaptırmak zorunlu değildir. Bu nedenle, prensip olarak, çalışanlar aşı yaptırmaya zorlanamaz ve seçme hakkının olduğu kabul edilmelidir. Öte yandan, işverenlerin işyerinde sağlıklı ve güvenli bir ortam sağlama yükümlülüğü de bulunmaktadır. Bu nedenle, bu yükümlülüğün yerine getirilebilmesi ve işyeri kısıtlamalarının düzenlenmesi amacıyla ilgili veriler işverenler tarafından işlenebilmelidir. Ancak, işverenler yukarıda belirtilen iş ilişkisinde açık rızanın geçerliliğine ilişkin çekinceler sebebiyle açık rıza almak istemezlerse 6698 sayılı Kanunun 6/3’üncü maddesi gündeme gelecektir. Önemli olan, ilgili verilerin bir işyeri hekimi veya görevli doktor aracılığıyla toplanması/işlenmesidir. Ayrıca işyeri hekimi/görevli doktor dışında hiçbir departman bu verilere ulaşmamalı ve veriler kimseyle paylaşılmamalıdır. Bu kapsamda, çalışanın sağlık verileri, açık rıza aranmaksızın ve ancak önceden bildirimde bulunulmak kaydıyla işlenebilmektedir. Bu işleme faaliyetinin sonuçlarına göre işyeri kısıtlamaları uygulanıyorsa ve bazı bilgilerin diğer departmanlarla paylaşılması gerekiyorsa, paylaşılan verilerin kişilerin kimliğini belirleyen veya belirleyebilecek nitelikte olmaması gerekmektedir. Bunun mümkün kılınması için, sağlık veri detayı gizli tutulabilir veya sağlık verileri anonim hale getirilebilir. Çalışanların Covid-19 aşı bilgisinin işlenmesi, bahsedilen yöntemler izlendiğinde, 6698 sayılı Kanun’a uygun olacaktır.