Kuruma intikal eden şikâyette özetle, ilgili kişinin iş akdinin tek taraflı feshi nedeniyle veri sorumlusu işveren hakkında açtığı işe iade davasında, dava içeriği ile ilgili olmamasına rağmen özlük dosyasında yer alan kendisine ait özel nitelikli kişisel verilerinin mahkemenin talebi olmadığı hâlde dava dosyasına sunulduğu, sağlık durumu hakkında özellikle ilgili sağlık kurumu tarafından bir tanı konulmamış olmasına rağmen sağlık raporlarında yer alan “uzman” veya “bilirkişi” gibi ifadelerin büyük harfler içine alınarak psikolojik tanı koymaya yetkili bir kurum veya kişi sıfatı ile raporların davaya konu edilmesinin kişilik haklarının ihlal edilmesine sebebiyet verdiği ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusu hakkında gerekli işlemlerin tesis edilmesi talep edilmiştir. 

Konuya ilişkin olarak Kurul Kararı ile başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup, alınan cevabi yazıda özetle;

• İşverenin 6331 sayılı İş Sağlığı ve Güvenliği Kanununun 15 inci maddesine göre çalışanın sağlık muayenelerini yapmasını sağlamak zorunda olduğu, İş Sağlığı ve Güvenliği Yönetmeliğinin 7 nci maddesinde yer alan hüküm uyarınca işten ayrılma tarihinden itibaren en az 15 yıl süreyle çalışanların kişisel sağlık dosyalarının saklanacağı, bu sebeple çalışanın sağlık verilerinin anılan Kanun ve Yönetmelik hükümlerince işlendiği, 
• Söz konusu raporların herhangi bir gerekçe ile talep edilmeksizin izin taleplerinin bir mazereti olarak bizzat ilgili kişinin kendisi tarafından ibraz edildiği, ilgili kişinin tüm uyarılara rağmen görev ve sorumluluklarının gereğini yerine getirmemesi ile birlikte işyerinde sergilediği olumsuz tutum ve beyanlar nedeniyle işyerinin çalışma düzenine ve iş huzurunun bozulmasına sebebiyet verdiği, bu nedenle 4857 sayılı İş Kanununun 25 inci maddesi uyarınca iş akdinin feshedildiği,
• Mahkeme tarafından ilgili kişiye ait özlük dosyasının tüm içeriğinin kendilerine gönderilmesinin istendiği, bu bağlamda mahkeme tarafından talep edilen özlük dosyasının tüm içeriğinin şikâyete konu sağlık raporları da dâhil olmak üzere herhangi bir bilgi ve belge ayırt edilmeksizin mahkeme ile paylaşıldığı, mahkeme emrinin yerine getirilmesini müteakip şikâyete konu raporların şirket savunması ve iş akdi feshi sebebine ilişkin maddi vakıaların ispatı amacıyla hukuka ve dürüstlük kurallarına uygun ve işlendiği amaç ile bağlantılı, sınırlı ve ölçülü olarak cevap dilekçesine de eklenerek mahkemeye sunulduğu

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde: Kişisel Verileri Koruma Kurulunun 18/02/2020 tarih ve 2020/138 sayılı Kararı ile;

• Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (ç) bendi uyarınca “ilgili kişi” tanımlaması, kişisel verisi işlenen gerçek kişiyi ifade ederken; (ı) bendi uyarınca “veri sorumlusu” tanımlamasının, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiyi; (e) bendi uyarınca da “kişisel verilerin işlenmesi” tanımlamasının, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade ettiği,
• Kanunun “Genel ilkeler” başlıklı 4 üncü maddesi hükmü uyarınca kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde
  “a) Hukuka ve dürüstlük kurallarına uygun olma.
      b) Doğru ve gerektiğinde güncel olma.
      c) Belirli, açık ve meşru amaçlar için işlenme.
      ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma.
  d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme” ilkelerine uyulmasının zorunlu olduğu,
• Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesi hükmü uyarınca da kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemeyeceği ancak, 
  “a) Kanunlarda açıkça öngörülmesi.
  b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
  c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
  ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
  d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
  e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
  f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.” şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu, 
• Kanunun 6 ncı maddesinin (1) numaralı fıkrasında ise kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verilerinin özel nitelikli kişisel veri olduğu, (2) numaralı fıkrasında özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu, (3) numaralı fıkrasında, birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel verilerin kanunlarda öngörülen hallerde, sağlık ve cinsel hayata ilişkin kişisel verilerin ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceğinin hükme bağlandığı,
• 4857 sayılı İş Kanununun işçi özlük dosyası başlıklı 75 inci maddesine göre; işverenin çalıştırdığı her işçi için bir özlük dosyası düzenlediği, bu dosyada, işçinin kimlik bilgilerinin yanında, bu kanun ve diğer kanunlar uyarınca düzenlemek zorunda olduğu her türlü belge ve kayıtları saklamak ve bunları istendiği zaman yetkili memur ve mercilere göstermek zorunda olduğu, ayrıca idari para cezası başlıklı 104 üncü maddesinde Kanunun 75 inci maddesinde belirtilen işçi özlük dosyalarını düzenlemeyen işveren veya işveren vekiline idari para cezası verileceği, ancak sağlık raporlarının işçiye ait özlük dosyasının içerisinde yer alıp alamayacağı hususuna ilişkin ise gerek 4857 sayılı İş Kanununda gerekse 6331 sayılı İş Sağlığı ve Güvenliği Kanununda özel bir hüküm bulunmadığı,
• Diğer yandan 6100 sayılı Hukuk Muhakemeleri Kanununun 219 uncu maddesinin 1 inci fıkrası uyarınca, tarafların, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorunda olduğu, bununla birlikte, anılan Kanunun 220 nci maddesinin 3 üncü fıkrası uyarınca, belgeyi ibraz etmesine karar verilen tarafın, kendisine verilen sürede belge ibraz edilmez ve aynı sürede, delillerle birlikte ibraz edilmemesi hakkında kabul edilebilir bir mazeret gösterilmez ya da belgenin elinde bulunduğu inkâr edilirse, mahkemenin, duruma göre belgenin içeriği konusunda diğer tarafın beyanını kabul edebileceği,
• 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanunun “İncelenemeyecek Dilekçeler” başlıklı 6 ncı maddesinde, Türkiye Büyük Millet Meclisine veya yetkili makamlara verilen veya gönderilen dilekçelerden yargı mercilerinin görevine giren konularla ilgili olanların incelenemeyeceğinin hüküm altına alındığı,
• Somut olayda mahkemenin davaya ilişkin olarak yazmış olduğu müzekkerede davalı veri sorumlusundan davacı ilgili kişiye ait özlük dosyasının tüm içeriğinin tasdikli bir suretinin gönderilmesini istediğinin görüldüğü

değerlendirmelerinden hareketle 

• 6698 sayılı Kanunun 28 inci maddesinin (1) numaralı fıkrasının (d) bendinde yer alan “Kişisel verilerin soruşturma, kovuşturma, yargılama veya infaz işlemlerine ilişkin olarak yargı makamları veya infaz mercileri tarafından işlenmesi” hükmü ile 3071 sayılı Dilekçe Hakkının Kullanılmasına Dair Kanun’un “İncelenemeyecek Dilekçeler” başlıklı 6 ncı maddesinin (b) bendi dikkate alındığında konuya ilişkin Kurul tarafından tesis edilecek bir işlem bulunmadığına karar verilmiştir.