Veri Koruması Giriş
Kişisel verilerin korunması, günümüzde giderek dijitalleşen dünyada merkezi bir öneme sahiptir. AB’nin Genel Veri Koruma Yönetmeliği (GVKY) ve Alman Federal Veri Koruma Yasası (BDSG) ile şirketlerin ve holdinglerin müşteri, çalışan ve iş ortaklarının verileriyle nasıl başa çıkmaları gerektiği konusunda açık ve bağlayıcı kurallar bulunmaktadır. Özellikle birden fazla şirketten oluşan bir holdingde, veriyi işleme süreçlerinin holdinge uygun bir şekilde tasarlanması çok önemlidir. GVKY ve BDSG, kişisel verilerin nasıl toplanabileceği, saklanabileceği ve işlenebileceği kurallarını belirleyerek, ilgili kişilerin mahremiyetini ve haklarını korur. Şirketler ve holdingler bu nedenle, ilgili kişilerin güvenini sağlamak ve yasal risklerden kaçınmak için bu kuralları titizlikle uygulamak zorundadır.
Holding ve Veri Koruması
Bir holding, birden fazla şirketin bir araya gelerek tek bir yönetim altında toplandığı bir yapıdır. Holding yönetimi, Genel Veri Koruma Yönetmeliği (GVKY) ve Alman Federal Veri Koruma Yasası (BDSG) gerekliliklerinin holdingin tümünde yerine getirilmesinden sorumludur. Bu, holdingin her düzeyini ve şirketini – ana şirketten iştiraklere kadar – kapsar. Kişisel verilerin toplanması, saklanması ve işlenmesi yasal gerekliliklere uygun olarak holding genelinde gerçekleştirilmelidir. Holding yönetimi, holdingdeki tüm şirketlerin veri koruma gerekliliklerini bilmesini ve uygulamasını sağlamakla yükümlüdür. Ancak bu şekilde holding genelinde tutarlı ve yasalara uygun bir veri koruma seviyesi sağlanabilir.
Sorumlu ve Veri Koruma Görevlisi
Holding içerisinde sorumlu olan, kişisel verilerin işlenme amaçları ve yöntemleri hakkında karar veren kişi veya birimdir. Veri koruma görevlisi ise, holdingin tüm şirketlerinde veri koruma kurallarına uyulmasını gözetmekle yükümlüdür. Holding yönetimini ve bireysel şirketleri tüm veri koruma konularında danışmanlık yapar, çalışanları eğitir ve verilerinin işlenmesiyle ilgili haklarında destek almak isteyen kişilerin irtibat noktasıdır. Veri koruma kurallarına uyulmasını sağlamak ve ilgili kişilerin haklarının etkin bir şekilde korunmasını sağlamak için sorumlu ile veri koruma görevlisinin yakın işbirliği şarttır.
Holding İçinde Kişisel Verilerin Aktarımı Hakkında BAG Kararı – Az. 8 AZR 209/21
Veri koruma, iş hukukunda da merkezi bir rol oynamaktadır. Bu, üçüncü şahıslara karşı çalışanların kişisel verilerine ilişkin tutumu ilgilendirdiği kadar, bir holding içinde de geçerlidir. Alman Federal İş Mahkemesi, 8 Mayıs 2025 tarihli kararıyla holding içindeki veri aktarımında bile Genel Veri Koruma Yönetmeliği’nin (GVKY) gerekliliklerine uyulması gerektiğini açıkça ortaya koydu (Az. 8 AZR 209/21).
Kurumlar, Genel Veri Koruma Yönetmeliği (GVKY) uygulamalarında önemli bir role sahiptir: Veri koruma yasalarına, eyalet veri koruma yasaları da dahil olmak üzere, uyulmasını sağlamalı ve kişisel verilerin internet üzerindeki korunmasını sağlamak için gerekli önlemleri almalıdır. Belirli durumlarda bu görevler ve önlemler, ilgili yönetmelik maddeleriyle düzenlenerek, vatandaşların, kullanıcıların ve kamuoyunun haklarını korumak ve şeffaflık sağlamak adına uygulanmalıdır.
Başvurudan iş sözleşmesinin sona ermesine kadar, işyerinde birçok çalışanın verisi toplanmakta ve işlenmektedir. İşverenler özellikle, MTR Legal hukuk bürosunun da danışmanlık verdiği, Genel Veri Koruma Yönetmeliği (GVKY) ve Alman Federal Veri Koruma Yasası (BDSG) kurallarına uymak zorundadır.
Verilerin Holding İçinde Aktarımı Sırasında GVKY’ye Uyulmalıdır
GVKY gereklilikleri, holding içinde verilerin aktarımı sırasında da göz önünde bulundurulmalıdır, Alman Federal İş Mahkemesi’nin 8 Mayıs 2025 tarihli kararı bunu göstermektedir. BAG, bir çalışanın, GVKY ihlaline dayanarak tazminat talep edebileceğini açıkça belirtmiştir.
Olayın esasına göre, işveren bir çalışanının kişisel verilerini holding içinde üst bir holding şirketine aktarmıştır. Bunun nedeni, tüm holdingde yeni bir personel yönetim sisteminin uygulamaya konması için bulut tabanlı bir yazılımın test edilmesi gerektiğiydi.
Yeni personel yönetim sisteminin ön çalışması, daha önce bir işletme anlaşmasıyla düzenlenmişti. Anlaşma uyarınca ad, iş sözleşmesinin başlangıcı, şirket, iş yeri ile işle ilgili telefon numarası ve e-posta adresi paylaşılabilirdi. Ancak işveren, buna ek olarak çalışanın maaş, doğum tarihi, medeni durumu, sosyal güvenlik numarası, vergi kimlik numarası ve özel adres bilgilerini de holding şirketine aktarmıştır.
Veri koruma yönetmeliği ve ilgili maddelerin uygulanması sadece şirketler için değil, kurumlar için de ilgili kişilerin, vatandaşların ve kullanıcıların haklarını korumak için önemlidir. Verilerin internet üzerinde toplanması ve kişisel verilerin korunması için önlemler almak ve eyalet veri koruma yasalarına uyulmasını sağlamak, şeffaflık açısından merkezi bir görevdir.
Veriler Yeterli Hukuki Dayanak Olmadan Aktarıldı
Buna karşı davacı itiraz etti. Veri kullanımı test aşamasında gerçek verilere ihtiyaç duyulmadığı için, verilerin yeterli bir hukuki dayanak olmadan işlendiğini ve bu nedenle GVKY madde 5’e göre veri minimizasyonu ve amaç bağlılığı ilkelerine aykırı olduğunu savundu. Ayrıca, işleme mevcut işletme anlaşmasıyla da karşılanmamıştı. DSGVO madde 82 paragraf 1 uyarınca DSGVO’nun ihlalinden dolayı manevi tazminat talep etti.
Alt mahkemeler davayı reddettikten sonra dava sonunda Federal İş Mahkemesi’ne ulaştı. BAG, Avrupa Adalet Divanı’na başvurdu. ABAD, 19 Aralık 2024 tarihli kararında, işletme anlaşmasındaki veri işleme düzenlemelerinin DSGVO’ya uygun olması gerektiğini açıkça belirtti. BAG, bu içtihada katılarak davacının tazminat talep edebileceğine karar verdi.
İlgili veri koruma yönetmeliği maddelerinin ve eyalet veri koruma yasalarının uygulanması, yetkililerin görevlerini yerine getirmesi ve ilgili vatandaşlar ve kullanıcıların korunması için merkezi öneme sahiptir. İnternette kişisel verilerin toplanması ve korunması adına önlemler almak, kamuoyuna karşı şeffaflık sağlamak açısından önemlidir.
Manevi Tazminat Talebi
İşverenin, işletme anlaşmasında izin verilenden daha fazla veriyi üst holding şirketine aktardığı ortaya konuldu. Bunun gerekli olmadığını ve GVKY’ye aykırı olduğunu BAG belirtti. Davacının kişisel verilerinin üst holding şirketine aktarılmasından dolayı verileri üzerindeki kontrolünü kaybettiği ve bu nedenle manevi bir zarar gördüğü BAG tarafından açıkça dile getirildi.
Karar, holding dahilindeki veri aktarımının her zaman veri koruma hukuku açısından değerlendirilmesi gerektiğini ortaya koymaktadır. GVKY’nin veri koruma yasalarına yönelik gereksinimleri tam anlamıyla yerine getirilmelidir. Bu, özellikle veri minimizasyonu, amaç bağlılığı ve şeffaflık ilkelerini içermektedir.
Uygun önlemlerin uygulanması ve veri koruma yönetmeliğinin ve ilgili maddelerin sıkı bir şekilde uygulanması, vatandaşlar ve kullanıcılar gibi ilgili kişilerin korunması ve yetkililerin görevlerini yerine getirmesi için elzemdir. Bu, internette verilerin toplanmasını, eyalet veri koruma yasalarına uyulmasını ve kamuoyuna karşı şeffaflığı kapsar.
Çalışma İlişkilerinde Kişisel Verileri İşleme Gereklilikleri
Esasen, çalışma ilişkisinde kişisel veri işleme, ancak bunun için uygun bir hukuki dayanak varsa mümkündür. Örneğin, veri işleme iş sözleşmesini yerine getirmek için gerekli olduğunda bu geçerlidir. Ayrıca, çalışan rızasını beyan etmişse veri işleme mümkündür. Burada önemli olan, rızanın gönüllü olarak verilmesi, spesifik olması ve geri alınabilir olmasıdır. Veri işleme, işverenin şirketin güvenliğini koruma konusunda meşru bir çıkarı olduğunu kanıtlayabilmesi ve çalışanların üstün gelen çıkarları veya temel haklarının buna karşı gelmemesi durumunda da mümkündür.
BAG’nin kararı, çalışan verileriyle sorumlu bir şekilde başa çıkmanın önemini ve veri koruma hususlarının işletme süreçlerine erken ve kapsamlı bir şekilde entegre edilmesi gerekliliğini vurgulamaktadır.
MTR Legal Rechtsanwälte çalışma hukuku ve Veri Koruma Hukuku.
Lütfen bizimle iletişime geçin! Veri koruma yönetmeliği ve ilgili maddelerinin uygulanması, internet üzerinde veri toplama için uygun önlemler alınması ve eyalet veri koruma yasalarına uyulması, ilgili kişilerin, vatandaşların ve kullanıcıların korunması ve kurumların görevlerini yerine getirmesi için merkezi bir rol oynamaktadır.
