Turkey: Kişisel Verileri Koruma Kurumu Tarafindan 19.03.2021 Tarihinde Yayinlanan Karar Özetleri

1. İlgili kişinin telefon numarası bilgisinin farklı veri sorumluları tarafından hukuka aykırı olarak işlenmesine ilişkin 09/02/2021 tarihli ve 2021/111 sayılı Karar Özeti

İlgili kişi şikayetinde özetle; cep telefonuna, kendisine ait herhangi bir içerik barındırmayan fakat yakınına ait bir borca ilişkin iki adet kısa mesaj (SMS) gönderildiği ve konuya ilişkin olarak ilgili hukuk bürosuna ve alacak sahibi şirkete başvuruda bulunduğunu ancak tarafına verilen yanıtların birbiri ile çelişkili ve yetersiz olduğu ifade ederek Kişisel Verilerin Korunması Kurumu'na ("Kurum") başvuruda bulunmuştur.

Kişisel Verilerin Korunması Kurul'u ("Kurul") yapmış olduğu inceleme sonucunda; Şirketin abonelerine ait borçların tahsilatına ilişkin olarak iki aşamalı bir süreci sözleşmeli avukatlar aracılığı ile uyguladığı, bu süreçlerin 'idari takip aşaması' ve 'icra takip aşaması' olarak adlandırıldığı ve bu iki aşama için farklı hukuk büroları ile çalışıldığı ve bu kapsamda (i) kişisel verilerin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yürütülmesinden sorumlu olan Şirket ile ilk Hukuk Bürosu çalışanının ilgili sistemde borçlu kişiye ait olmayan ve Yasal Takip Sisteminde ("YTS") sisteminde bulunmayan numarayı bir şekilde temin ederek işlediği anlaşıldığından ilk Hukuk Bürosu Avukatının olay özelinde veri sorumlusu olduğu, (ii) borçlu kişiye ait olmadığı bilgisinin mevcut ve açıkça belirli olduğu halde kullanılarak SMS gönderildiği hususu dikkate alındığında SMS gönderimi işlemini yapan ikinci Hukuk Bürosu Avukatının da YTS isimli kayıt sistemi çerçevesinde kişisel veri işleme faaliyetinde bulunduğu dolayısıyla Şirket ve birinci hukuk bürosu avukatları ile birlikte veri sorumlusu olduğu, (iii)  Veri sorumlusu şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk Avukat tarafından girilen verilerin doğruluğu ve güncelliği noktasında gerekli denetim ve kontroller yapılmaksızın dosyanın ikinci bir avukat ile paylaşıldığı anlaşıldığından Şirket tarafından doğru ve gerektiğinde güncel olma ilkesine aykırı hareket edildiği; (iv)  ilgili kişinin telefon numarasının nasıl temin edildiği konusunda 118 sorgu gibi kamuya açık portallardan edinilmesi ya da borçlu şahıs veya yakınlarının paylaşması sonucu bu bilgiye ulaşılmış olunabileceği açıklamalarının açık rıza dışındaki işleme şartlarına ilişkin bir hukuki dayanak oluşturmadığından hareketler açık rıza dışındaki kişisel veri işleme şartlarından herhangi biri geçerli olmadığı halde kişisel veri niteliğinde olan ilgili kişiye ait iletişim bilgisinin, yakınının borcu olması dolayısıyla Avukat tarafından işlendiği sonucuna varıldığı ve (v) YTS sisteminde ilgili kişiye ait telefon numarasının kişinin yakınına ait olduğu bilgisinin mevcut olmasına rağmen bu sisteme erişimi bulunan ikinci Hukuk Bürosu Avukatı tarafından ilgili kişiye SMS göndermek suretiyle kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde ayrıca işlendiği tespit edildiğinden, avukat tarafından kişisel verilerin hukuka aykırı işlenmesini önlemek adına gerekli dikkat ve özen yükümlülüğü yerine getirilmeyerek hukuka aykırı kişisel veri işleme faaliyetinde bulunulduğunu göz önünde bulundurarak;

• Birinci Hukuk Bürosu çalışanı tarafından ilgili kişinin telefon numarasının temin edilmesi ve işlenmesine ilişkin olarak, veri sorumlusu Avukat tarafından ileri sürülen hususların 6698 sayılı Kanunun ("Kanun") 5 inci maddesinin ikinci fıkrasında yer alan açık rıza dışındaki kişisel veri işleme şartlarından herhangi birine dayanak teşkil etmediği dolayısıyla veri sorumlusu Avukatın Kanunun "Veri Güvenliğine İlişkin Yükümlülükler" başlıklı 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen yükümlülüğü yerine getirmediği kanaatine varıldığından, veri sorumlusu Avukat hakkında, 000 TL idari para cezası,
• Şirket tarafından borç takibi yapılabilmesi amacıyla kullanılan sisteme ilk Avukat tarafından girilen verilerin Kanunun 4 üncü maddesi gereğince doğruluğu ve güncelliğini sağlama noktasında gerekli denetim ve kontroller yapılmaksızın ikinci Avukat ile paylaşılması sebebiyle veri sorumlusu Şirketin gerekli teknik ve idari tedbirleri almadığı dolayısıyla 12 nci maddesinin birinci fıkrasında yer alan yükümlülüğünü yerine getirmediği kanaatine varıldığından, veri sorumlusu Şirket hakkında 000 TL idari para cezası ve
• YTS sisteminde bulunan telefon numarasının, kişinin yakınına ait olduğu bilgisi mevcut olmasına rağmen veri sorumlusu Avukat tarafından ilgili kişiye SMS göndermek suretiyle kişisel veri işleme şartlarından herhangi biri söz konusu olmadığı halde işlendiği bu itibarla, veri sorumlusu avukat tarafından Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen yükümlülüğün yerine getirilmediği kanaatine varıldığından, veri sorumlusu Avukat hakkında, 000 TL idari para cezası uygulanmasına karar verilmiştir.

2. Bir kargo firmasında çalışan ilgili kişinin iş akdinin haksız feshedilmesi sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi talebine veri sorumlusu tarafından cevap verilmemesi hakkında 28/05/2020 tarihli ve 2020/435 sayılı Karar Özeti

İlgili kişi Kuruma'a iletmiş olduğu şikayetinde istifa dilekçesinin alınması sonrası özlük dosyası kapsamında yer alan kişisel verilerinin birer suretini Kanun'un 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında eski çalışanı olduğu veri sorumlusu kargo firmasından talep etmesine rağmen, tarafına 30 gün içerisinde herhangi bir cevap verilmemesi sebebiyle veri sorumlusu hakkında yaptırım uygulanması ve özlük dosyası kapsamında yer alan kişisel verilerinin birer suretinin tarafına verilmesi amacıyla veri sorumlusunun talimatlandırılmasını talep etmiştir.

Kurul yapmış olduğu inceleme sonucunda ; veri sorumlusunun ilgili kişiden 30.09.2019 tarihinde aldığı yazılı savunma ve 18.10.2019 ile 17.10.2019 tarihli istifa dilekçelerinin içerik itibariyle  kişisel veri niteliğinde olduğu; Anayasanın 20 nci maddesinin (3) numaralı fıkrasında "Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak; kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir." hükmünün yer aldığı; bu kapsamda Anayasa'nın bahsi geçen düzenlemesi ile birlikte "... kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme..." hakkına sahip olduğunu düzenleyen Kanunun 11 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında ilgili kişinin kişisel verilerine erişme hakkının olduğu ve bu hakkını veri sorumlusuna karşı ileri sürebileceği; Anayasa'nın 38. Maddesinde düzenlenen susma hakkına dayanılarak Veri Sorumlusu tarafından ilgili kişinin talebine cevap verilmediği iddiasının veri sorumlusunun tüzel kişi olması sebebiyle geçerli olmadığı ve Veri Sorumlusu Şirket tarafından Kurul'un 24.12.2018 tarih ve 2018/156 sayılı karar özetine atıf yapılmak suretiyle ilgili kişi tarafından şikayet konusu yapılan hususun yargı mercilerinin görevine giren konularla ilgili olduğu, bu nedenle şikayetin reddinin gerektiği iddiasının ilgili kişinin veri sorumlusuna karşı açmış olduğu davanın konusunun kişisel verilere ilişkin olmaması sebebiyle kabul edilebilir olmadığından bahisle; ilgili kişinin başvurusunun, Kanunda düzenlenen haklara ilişkin olmadığı ve başvurunun Kanunda düzenlenmeyen bir konu olan belge örneği talebi içerdiği için Kanunun 11 inci maddesi kapsamında karşılanmasının mümkün olmadığı gerekçesiyle veri sorumlusu tarafından 30 günlük yasal süre içerisinde cevaplandırılmadığı dikkate alındığında, veri sorumlusunun ilgili kişiye ait kişisel veri niteliğindeki bilgilerini içeren 30.09.2019 tarihli savunma yazısı ile 18.10.2019 tarihli ve 17.10.2019 tarihli istifa dilekçelerinin birer örneğinin ilgili kişiye verilmesi hususunda Kanunun 15 inci maddesinin (5) numaralı fıkrası kapsamında ve ilgili kişiler tarafından Kanun kapsamında yapılan başvurulara yasal süresi içerisinde cevap vermesi noktasında azami dikkat ve özeni göstermesi gerektiği hususunda talimatlandırılmasına karar vermiştir.

3. Hakkında hüküm verildiği suçtan dolayı cezası infaz edilen ilgili kişiye ait haberin yayımlandığı gazetenin internet sitesinden kaldırılması talebi hakkında 22/05/2020 tarihli ve 2020/414 sayılı Karar Özeti

İlgili kişinin vekili tarafından sunulan şikayet dilekçesinde özetle; Müvekkilinin Google arama motorunda adı ve soyadının aratılması sonucunda veri sorumlusu Gazetenin internet sitesinin linkine ulaşıldığı, söz konusu haberde müvekkilinin hüküm giydiği suça ilişkin bilgilerin yer aldığı ve haberin 2009 Haziran dönemine ait olması sebebiyle yaklaşık 10 yıl öncesine ilişkin olduğu, söz konusu cezanın tamamının infaz edildiği, ulaşılan haberler nedeniyle müvekkilinin iş hayatı ve ailesinin bu durumdan olumsuz etkilendiği, veri sorumlusu Gazeteye başvurulduğu; ancak başvurusunun reddedilmesi sebebiyle Kurum'dan veri sorumlusu gazeteye Kanun kapsamında idari para cezası verilmesi, telafisi güç veya imkânsız zararların doğması ve açıkça hukuka aykırılık olması nedeniyle veri işlenmesinin ve verinin yurt dışına aktarılmasının durdurulması, ilgili kurumlar hakkında Savcılığa suç duyurusunda bulunulması talep edilmiştir.

Kurul yapmış olduğu incelemede ifade özgürlüğünün bir yansıması olan basın özgürlüğü ile kişilik hakları karşı karşıya geldiğinde haberin a) kamu ilgi ve yararı taşıması, b) gerçek ve güncel olması, c) özü ile biçimi arasındaki denge kriterleri değerlendirilerek hangi hakka üstünlük tanınması gerektiğinin belirlenmesinin önem teşkil ettiğini ifade ederek ilgili kişinin şikayetini söz konusu kriterleri ayrı ayrı ele alarak değerlendirmiş olup ilgili kişinin kendisine ilişkin verinin söz konusu habere konu edilerek yayımlanmasında hâlihazırda kamu yararı bulunduğu ve bu itibarla çatışan haklar bakımından ifade özgürlüğünün kişilik haklarına üstün geldiği sonucuna vararak ve söz konusu başvurunun Kanunun 28 inci maddesinin birinci fıkrasının (c) bendi kapsamında girmesi sebebiyle ilgili kişinin şikayeti ile ilgili olarak Kanun kapsamında yapılacak bir işlem bulunmadığına karar vermiştir.

4. İlgili kişinin tahlil sonuçlarının veri sorumlusu hastane tarafından hukuka aykırı şekilde üçüncü kişilere aktarılması hakkında 20/05/2020 tarihli ve 2020/407 sayılı Karar Özeti

İlgili kişi Veri Sorumlusu hastane tarafından tahlil sonuçlarının e-posta yoluyla kendisine iletildiği, ancak aynı e-postanın başka bir e-posta adresine ve tanımadığı bir kişiye daha gönderildiğini fark etmesi üzerine Kanun kapsamında gereğinin yapılması amacıyla Kurum'a şikayette bulunmuştur.

Kurul tarafından başlatılan inceleme kapsamında Veri Sorumlusundan alınan savunmada Veri Sorumlusu ilgili kişinin tahlil sonuçlarının aynı gün aynı test için hastalarını hastane laboratuvarına yönlendirmiş olan başka bir doktorun özel asistanına ve hastaların kendilerine e-posta olarak iletildiğini belirtmiştir.

Kurul tarafından gerçekleştirilen değerlendirmeler sonucunda; ilgili kişinin veri sorumlusu Hastanede bulunan tahlil sonuçlarının sağlığa ilişkin özel nitelikli kişisel veri olduğu dikkate alındığında, bahse konu tahlil sonuçlarının üçüncü bir taraf olarak, hastaneden bağımsız şekilde çalışan ve ayrı bir gerçek kişi veri sorumlusu olarak değerlendirilen doktorun asistanına Kanunun 8 inci maddesinde belirtilen ilgili kişinin açık rızası ya da 6 ncı maddede düzenlenen işleme şartlarından biri olmadığı halde mail atılmak suretiyle aktarılmasının hukuka aykırı işleme olması sebebiyle Veri Sorumlusu Hastane'nin Kanun'un "Veri Güvenliğine İlişkin Yükümlülükler" başlıklı 12 nci maddesinin birinci fıkrasına yönelik yükümlülüğünü yerine getirmediği kanaatine varılarak Hastane hakkında Kurul 100.000 TL idari para cezası uygulanmasına karar vermiştir.

5. İşverenin, işçisine ait kişisel verileri ve özel nitelikli kişisel verileri; aydınlatma yükümlülüğünü yerine getirmeden ve hukuka aykırı işlemesi 20/05/2020 tarihli ve 2020/404 sayılı Karar Özeti

İlgili kişi Kurum yapmış olduğu şikayetinde; Çalışmakta olduğu veri sorumlusu şirketten Kanun'un 11. maddesi kapsamındaki hakları kapsamında bilgi talebinde bulunduğu, söz konusu talebine yeterli cevap alamadığı bu kapsamda

• Veri sorumlusu tarafından kendisine kişisel verilerinin işlenme amacıyla ilgili olarak genel nitelikli bir bilgilendirme yapıldığı, verilerin işlenme ve saklanma süreçlerine ilişkin bilgi verilmediği,
• Şirket'in Veri Güvenliği Politikası'da Şirket tarafından alınması gereken teknik ve idari tedbirlere ilişkin yeterli bilgi olmadığı;
• Veri sorumlusu tarafından çalışanlarından elektronik ortamda KVKK Çalışma Muvafakatnamesi alındığı, söz konusu muvafakatnamenin çok geniş kapsamlı olduğu ve yeterli aydınlatmanın yapılmadığı, verilecek rızanın "battaniye rıza" olduğu, kendisinin bu muvafakatnameye onay vermekten imtina ettiği ancak onay vermek durumunda bırakıldığını,
• Tüm çalışanların parmak izinin alındığı, çalışanların bu veriyi vermek zorunda bırakıldığı, parmak izi alındığı sırada çalışanların açık rızalarının alınmadığı ve aydınlatma yükümlülüğünün de yerine getirilmediği, biyometrik verilerin üçüncü taraf bir şirket ile paylaşılıp paylaşılmadığı, yeterli güvenlik önlemleri ile saklanıp saklanmağı hususlarında tarafına bilgi verilmediğini de belirtilerek

hukuka aykırı uygulamaları nedeniyle veri sorumlusu hakkında gerekli yaptırımların uygulanmasını talep etmiştir.

Kurul tarafından gerçekleştirilen inceleme sonucunda;

• Şikayet dilekçesinin ekinde sunulan "Kişisel Verilerin İşlenmesine İlişkin Çalışan Muvafakatnamesi"nin" hem aydınlatma metni hem de açık rıza metni olarak düzenlenmesinin Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin (Tebliğ) 5 inci irinci fıkrasının (f) bendinde yer alan "Kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerekmektedir." Hükmüne aykırılık teşkil etmesi nedeniyle aydınlatmanın şekli olarak usule uygun olmadığı, öte yandan metinde çeşitli kişisel veri kategorileri sıralandıktan sonra "(...) sayılan kişisel veriler dahil olmak üzere ancak bunlarla sınırlı olmaksızın (...)" ifadesine yer verildiği ve hangi kişisel verilerin işleneceği (kategorik olarak) hususunun muğlak bırakıldığı, işlenecek veri kategorileri sıralandıktan sonra veri işleme amaçları da art arda sıralanmak suretiyle hangi veri kategorisinin hangi amaçla işleneceğine dair herhangi bir açıklamaya yer verilmediği, metinde ".... uygun gördüğü diğer üçüncü kişilere ve/veya yurt dışında paylaşılabileceği" ifadesinin yer aldığı bu kapsamda kimlere aktarım yapılacağının muğlak bir şekilde veri sorumlusuna bırakıldığı, ayrıca metinde biyometrik veri niteliğini haiz olan parmak izinin veri kategorileri içerisinde dahi sayılmadığı değerlendirildiğinde metnin içerik olarak da açık rıza kapsamında ilgili kişiyi bilgilendirdiğinden ya da aydınlatma yükümlülüğünü yerine getirdiğinden söz edilemeyeceği kanaatine varılarak veri sorumlusu hakkında Kanunun 18 inci maddesinin birinci fıkrasının (a) bendi uyarınca 000 TL idari para cezası uygulanmasına,
• Ayrıca, işçi-işveren ilişkisinde, işçiye rıza göstermeme imkânının etkin bir biçimde sunulmadığı veya rıza göstermemenin işçi açısından muhtemel bir olumsuzluk doğuracağı durumlarda, rızanın özgür iradeye dayandığının kabul edilemeyeceği ve nitekim somut olay kapsamında veri sorumlusu tarafından açık rıza metnini imzalamayan çalışanların listesinin tutulduğu, bu listelerin başkaca çalışanlara gönderilmesi suretiyle metni imzalamayan çalışanların metni imzalamalarının sağlanmasının talep edildiğinin tespit edildiği ve bununla birlikte çalışan tarafından onayın verilmemesi sebebiyle özlük dosyasının tamamlanmamış kabul edildiği durumlarda işçiye rıza göstermeme imkânının etkin bir biçimde sunulmaması söz konusu olacağından verilen rızanın, geçerli bir açık rıza beyanı olarak değerlendirilemeyeceği;

Veri sorumlusu tarafından öne sürülen çalışanların "...parmak izlerinin kriptografik yöntemlerle muhafaza edildiğini, bu sebeple bu verilerin biyometrik veri niteliği taşımadığı..."  iddiası karşısında biyometrik verilerin hash yöntemi ile saklandıklarında biyometrik veri olma niteliklerini kaybetmedikleri, bu bakımdan açık rızanın bulunmadığı hallerde biyometrik verilerin ancak Kanun'un 6. maddesinde öngörülen kanunlarda öngörülme şartı doğrultusunda işlenebileceği;

Diğer taraftan Şirket tarafından çalışanların biyometrik veri niteliğindeki parmak izi verisinin toplanmasının Kanunun 4.maddesinin (2) numaralı fıkrasında yer alan "İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma" ilkesi ile bağdaşmadığı zira, acil durum yönetimi sürecinin yürütülmesi, fiziksel mekan güvenliği ve yetkili kurum ve kuruluşlara bilgi verilmesi amaçlarının örneğin; fiziksel mekan güvenliğinin sağlanabilmesi için giriş esnasında manyetik kart sistemi, RFID etiketi, cep telefonuna gönderilecek bir SMS'in sisteme girilmesi gibi alternatif yollar ile sağlanması mümkünken parmak izi verisinin alınmasının orantısız bir veri işleme faaliyeti olduğu;

İşlenen kişisel verilerin aktarıldığı üçüncü kişiler arasında "Bu bölümde sayılan şirketlerin yerini alabilecek diğer şirketler" vb. ifadelerin yer alması halinde, işlenecek kişisel verilerin tam olarak nereye aktarılacağının rıza verecek ilgili kişi tarafından tam olarak anlaşılması mümkün olmayacağından, bu şekilde verilen rızanın açık rıza olarak değerlendirilmeyeceği, dahası 31.05.2019 tarihli ve 2019/157 sayılı Kurul kararı gereğince bulut gibi serverları yurt dışında bulunan hizmetlerin kullanımının yurt dışına kişisel veri aktarımı olduğu ve Kanunun 9 uncu maddesine uygun hareket edilmesi gerekmesine rağmen Şirket'in bu maddeye aykırı şekilde çalışan kişisel verilerini çalışanlarının açık rızası olmaksızın aktarıldığının tespit edildiğini belirtilerek

Kanunun 12 nci maddesinin birinci fıkrasında yer alan kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri alma yükümlülüğüne aykırı hareket ettiği kanaatine varılan veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına karar vermiştir.

6. İlgili kişinin, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili özel nitelikli kişisel verilerinin özlük dosyasından çıkarılması talebi hakkında 20/05/2020 tarihli ve 2020/396 sayılı Kararı

İlgili kişi Kurum'a ilettiği şikâyet dilekçesinde özetle, memuriyete ilk giriş tarihinden önce hakkında verilmiş olan ceza kararının özlük dosyasında yer aldığı, verilen kararda yer alan beş yıllık denetim süresinin dolduğu ve davanın düşmesine karar verildiği, kararın adli sicil kaydından silindiği, bu itibarla özlük dosyasında yer alan mezkûr karar ve ilgili dosyanın kaldırılarak imha edilmesi için çalıştığı veri sorumlusu kuruma başvuru yapmış olmasına rağmen bu başvurusunun reddedildiği; ancak söz konusu dosyanın açık rızası dâhilinde, resmi olarak güvenlik soruşturması yapılmadan, kurumda çalışmaya ilk başladığı tarihte İl Yazı İşleri Müdürünün kendisine sözlü olarak güvenlik soruşturması yapması ve mahkeme sürecinin devam etmesi sebebiyle mahkeme kararını getirmesinin gerekmesi üzerine özlük dosyasına konulduğu, anılan verinin muhafazasını gerektiren bir sebebin bulunmadığı belirtilerek özlük dosyasında yer alan mahkeme dosyasının kaldırılması talep edilmiştir.

Kurul gerçekleştirdiği inceleme neticesinde: (i)  ilgili kişinin Kuruma yapmış olduğu başvuruya konu ettiği mahkeme kararlarının kişiyi belirli kılma niteliğinin bulunması sebebiyle kişisel veri olduğu; söz konusu mahkeme kararlarının Kanunun 6 ncı maddesi kapsamında özel nitelikli kişisel veri niteliğini haiz bulunduğunu, (ii) İlgili kişinin, başvurusunda resmi dayanağı olmaksızın yapıldığını iddia ettiği güvenlik soruşturması evrakının 2013 yılına ait olduğu, söz konusu tarihte 03.11.1994 sayılı Resmi Gazetede yayımlanan 4045 sayılı "Güvenlik Soruşturması, Bazı Nedenlerle Görevlerine Son Verilen Kamu Personeli ile Kamu Görevine Alınmayanların Haklarının Geri Verilmesine ve 1402 Numaralı Sıkıyönetim Kanununda Değişiklik Yapılmasına İlişkin Kanun" un yürürlükte bulunduğu, anılan Kanunun 1 inci maddesi uyarınca güvenlik soruşturması işleminin yapılabilmesinin ön koşulunun; ilgili personelin ya kamu kurum veya kuruluşlarında "gizlilik dereceli birim" olarak nitelendirilen birimlerde ya da düzenlemede sınırlı olarak sayılan kurumlarda yahut görevlerde çalıştırılacak olması durumlarından birisinin gerçekleşmesi olduğu, bu bağlamda herhangi bir kamu kurum ve kuruluşunda görev yapmakta olan personelin, hukuki anlamda olmasa da, fiili olarak gizlilik dereceli birim ve kısımda çalışıyor olarak kabul edildiği/varsayıldığının değerlendirildiği, (iii) 657 sayılı Devlet Memurları Kanununun 48 inci maddesinde yer verilen şartlar arasında gösterilen "Kamu haklarından mahrum bulunmamak" ve "Türk Ceza Kanununun 53 üncü maddesinde belirtilen süreler geçmiş olsa bile; kasten işlenen bir suçtan dolayı bir yıl veya daha fazla süreyle hapis cezasına ya da affa uğramış olsa bile devletin güvenliğine karşı suçlar, Anayasal düzene ve bu düzenin işleyişine karşı suçlar, zimmet, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, hileli iflas, ihaleye fesat karıştırma, edimin ifasına fesat karıştırma, suçtan kaynaklanan malvarlığı değerlerini aklama veya kaçakçılık suçlarından mahkûm olmamak." koşullarının adayda bulunup bulunmadığının tespit edilebilmesini teminen birtakım belgelerin, aday tarafından veri sorumlusuna sunulmasının gerektiği; ancak atamaya esas teşkil eden belgelerin neler olduğuna ilişkin olarak 657 sayılı Kanunda herhangi bir hükmün yer almadığı, bununla birlikte; özel nitelikli kişisel veri niteliğini haiz bulunan "Ceza Mahkûmiyeti ve Güvenlik Tedbirleri" bilgisinin 657 sayılı Kanun uyarınca atamayı yapacak kuruma sağlanması hususunda adli sicil bilgisinin talep edilmesinin, Kanuna aykırılık teşkil etmediğinin değerlendirildiği, (iv) öte yandan, ilgili kişinin, 657 sayılı Devlet Memurları Kanunundaki koşulları taşıyıp taşımadığının araştırılması noktasında yeterli olduğu düşünülen adli sicil kaydının, bilgi ve belge talepli Kurum yazısına veri sorumlusu tarafından gönderilen cevap ve ekinde yer almadığının görüldüğü, bu itibarla, söz konusu mahkeme kararlarının; adli sicil kaydı istenmeksizin/verilmeksizin, doğrudan mahkeme kararlarının talep edilmesi/verilmesi şeklinde gerçekleştiği ve bu durumun ilgili kişinin bilgisi ve talebi doğrultusunda gerçekleşmesi sebebiyle Kanunun yürürlüğe girdiği tarihten önce gerçekleşen söz konusu olgunun, olayın gerçekleştiği tarihte yürürlükte bulunan mevzuat bakımından hukuka aykırılık içermediği, (vi)  Kurumca, Devlet Personel Başkanlığından ("DBP") talep edilen görüş neticesinde iletilen cevap yazısında kurumlarca lüzum görülen tüm belgelerin ilgili bölümlere konulmasının uygun olacağı, dosyanın dördüncü bölümünde memurun yalnızca çalışma hayatına ilişkin değil yargı organlarınca memur hakkında verilen tüm karar örneklerinin bulunması gerektiğinin ifade edildiği ve bu kapsamda DPB'nin Kurum görüş talebine verdiği cevap ve 2 Seri No'lu Kamu Personeli Genel Tebliği hükümleri uyarınca sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığı  ve son olarak (vii)  mülga Devlet Arşiv Hizmetleri Hakkında Yönetmelik arşivlik malzeme olarak kabul edilen memuriyet sicil dosyalarının, yeni Yönetmelik kapsamında arşivlik belge olarak değerlendirilmediği ve memuriyet sicil dosyalarına ve bunların yüz bir yıl saklanacağına ilişkin düzenlemeye yer verilmediği, buna karşın, süre bakımından arşiv belgesi vasfını kazanamayan belgelerin arşivlik belge kabul edilmesi sebebiyle memuriyet özlük dosyalarının da bu kapsamda yer aldığı ve bunların imha işlemine tabi tutulmadığı değerlendirilerek,

Kurul şikâyete konu kişisel verinin özel nitelikli kişisel veri olduğu ve ilgili kişinin söz konusu mahkeme kararlarının özlük dosyasında yer almasına ilişkin hâlihazırda açık rızasının bulunmadığı; bununla birlikte, Kanun bakımından söz konusu kişisel verinin işlenmesine ilişkin "kanunilik" unsurunun öğretide ifade edilen "maddi kanun" olarak değerlendirilmesi gerektiği kanaatine varıldığından DPB'nin Kurum görüş talebine verdiği cevap ve 2 Seri No'lu Kamu Personeli Genel Tebliği hükümleri uyarınca mer'i mevzuat bakımından sözü edilen kararların özlük dosyasından çıkarılmasına yer olmadığına karar vermiştir.

7. Bir tıp merkezinin internet sitesinde video tanıtım bölümü içerisinde görsel ve işitsel kişisel verileri işlenen ilgili kişinin başvurusuna veri sorumlusu tıp merkezi tarafından cevap verilmemesi" hakkında 14/05/2020 tarihli ve 2020/379 sayılı Karar Özeti

Şikayet dilekçesinde ilgili kişi özetle; bir Tıp Merkezinin internet sitesinde pazarlama amaçlı olarak "Video Tanıtım" bölümü içerisinde görsel ve işitsel kişisel verilerinin işlendiği, akdedilen iş sözleşmesi sona ermiş olduğundan kullanılan bu verilerin işleme amacı veya konusunun kalmadığı gerekçesiyle veri işlemenin durdurulmasını ve verilerin kaldırılmasını talep ettiğini, bu çerçevede veri sorumlusuna başvuruda bulunmasına rağmen kendine bilgi verilmediğini ve internet sitesindeki videoların silinmediğini ifade ederek veri sorumlusu Tıp Merkezine ait internet sitesinde bulunan kişisel verilerinin silinmesi ve başkaca işlenen kişisel verilerinin bulunup bulunmadığı, hangi verilerinin hangi amaçla işlendiği hususlarında tarafına bilgi verilmesi talep edilmiştir.

Kurul tarafından başlatılan inceleme kapsamında savunmasının alınmasına yönelik Kurum yazısı veri sorumlusuna tebliğ edilmişse de veri sorumlusu Kurula herhangi bir savunma ve bilgi/belge iletmemiştir.

Kurul yapmış olduğu inceleme kapsamında; (i) Tıp Merkezinin veri sorumlusu olduğunu ve veri sorumlusu tarafından reklam yapmak amacıyla ilgili kişinin görüntülerinin kullanılmasının kişisel veri işleme faaliyeti olduğunu; (ii) Kanunun  "Veri Sorumlusuna Başvuru" başlıklı 13 üncü maddesinin (2) numaralı fıkrasında yer alan "Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır." hükmü ile "Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ" gereği; ilgili kişinin veri sorumlusuna başvurduğu ancak 30 günlük yasal süre içerisinde veri sorumlusundan herhangi bir cevap alamadığının anlaşıldığı, bu nedenle veri sorumlusu tarafından ilgili kişinin başvurusunu cevaplama yükümlülüğünün yerine getirilmediğini değerlendirilerek

• Kanunun 11 inci maddesi uyarınca, ilgili kişinin tüm kişisel verilerinin silinmesi veya yok edilmesi talebinin, işlenmesini gerektiren sebep ortadan kalktığı halde; Kanunun 7 nci maddesinin (1) numaralı fıkrası gereği veri sorumlusu tarafından yerine getirilmediği, kişinin silme talebinin üzerinden makul süre geçmesine rağmen söz konusu kişisel veri işleme faaliyetine Kanunun 5 inci maddesinde yer alan şartlarından herhangi birine dayanmaksızın devam edildiği, bu durumun ise Kanuna aykırılık teşkil ettiği, bu kapsamda Kanunun 12 nci maddesinin (1) numaralı fıkrası hükümleri gereğince, kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılan veri sorumlusu hakkında 000 TL idari para cezası uygulanmasına;
• Kanunun 7 nci maddesinin (1) numaralı fıkrası uyarınca ilgili kişinin talebi doğrultusunda işlenmesini gerektiren herhangi bir sebep bulunmaması durumunda veri sorumlusu tarafından ilgili kişiye ait işlenen tüm kişisel verilerin silinmesi veya yok edilmesi ve tevsik edici belgelerin ilgili kişiye ve Kurula gönderilmesi hususunda veri sorumlusunun talimatlandırılmasına,
• Kanunun 13 üncü maddesi kapsamında başvuruda bulunan ilgili kişilere cevap verilmesine ilişkin gerekli özeni göstermesi hususunda veri sorumlusunun talimatlandırılmasına karar vermiştir.

8. İlgili kişinin kendisine iletilmesi gereken cevap yazısının veri sorumlusu tarafından resmi yazı şeklinde, çalıştığı birime gönderilmesi 05/05/2020 tarihli ve 2020/336 sayılı Karar Özeti

İlgili kişi kuruma yapmış olduğu başvuruda; çalıştığı veri sorumlusu Üniversitenin Sanat Tarihi Bölümüne iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusundan kendisine bilgi verilmesini talep ettiğini, bu kapsamdaki talebine ilişkin cevabın, doğrudan ve sadece kendisine verilmesi gerekirken başvurusunun halihazırda görevli olduğu aynı Üniversitenin Meslek Yüksekokulu Müdürlüğüne, tüm taraflara açık biçimde yazılmış ve personele iletilen alelade resmi yazı şeklinde iletildiğini, üçüncü kişilerin erişimine açılan kişisel bilgilerinin Kanun kapsamında korunmasına yönelik olarak veri sorumlusundan gerekli tedbirleri almasını talep etmesine karşılık yasal süre içinde gerekli tedbirlerin alınmadığı ve tarafına cevap verilmediğini belirtilerek Kanun kapsamında gereğinin yapılması talep etmiştir.

Kurul yapmış olduğu incelemede; kişisel verilerin işlenmesi faaliyetinin Kanunun 3 üncü maddesinde kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığını, bu çerçevede başvuruya konu olayda ilgili kişinin Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusuna başvurusuna verilen yanıtın, ilgili kişinin çalıştığı birime gönderilmesi suretiyle kişisel verilerinin açıklanmasında Kanunun 5 inci maddesi kapsamında herhangi bir hukuki dayanak söz konusu olmadığından veri sorumlusu tarafından Kanunun 12 inci maddesinin (1) numaralı fıkrası kapsamında  kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmadığı kanaatine varılmış olup Kanun'un 8 inci maddesinin birinci fıkrasının (b) bendinde Kanunun 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği ile aynı maddenin üçüncü fıkrasında birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılacağı ve sonucunun Kurula bildirileceğinin hükme bağlandığı göz önünde bulundurularak

• Kanunun 13 üncü maddesi kapsamında kendisine yapılan başvuruya cevap vermemesinin Tebliğin 6 ncı maddesinde yer alan başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne aykırı olduğu değerlendirildiğinden veri sorumlusunun Kanun kapsamında kendilerine yapılan başvurulara Tebliğe uygun olarak cevap verilmesi hususunda azami dikkat ve özenin gösterilmesi konusunda talimatlandırılmasına ve
• Veri sorumlusunun söz konusu uygulaması neticesinde yetkisi olmayan kişiler tarafından ilgili kişinin verilerine erişildiği dikkate alındığında veri sorumlusunca kişisel verilerin muhafazasına yönelik veri güvenliğine ilişkin gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından, veri sorumlusunun Kanunun 12. maddesinin birinci fıkrasına aykırılık teşkil eden uygulaması nedeniyle sorumlular hakkında Kanunun 18 inci maddesinin üçüncü fıkrası çerçevesinde işlem yapılmasına ve işlemin sonucu hakkında Kurula bilgi verilmesine

karar vermiştir.

9. İlgili kişinin araç kiralama hizmeti alması esnasında kişisel verilerinin işlenmesine dair açık rıza vermemesi üzerine kiralama hizmetinden yararlandırılmamasına ilişkin 05/05/2020 tarihli ve 2020/335 sayılı Karar Özeti

İlgili kişi şikâyet dilekçesinde; veri sorumlusu araç kiralama şirketinin hizmet noktasında, yetkilisi olduğu şirket adına kısa süreli araç kiralamak istediğini ve bu kapsamda araç kiralama sözleşmesi ve ilgili belgelerin kendisi tarafından imzalanmasının talep edildiğini, imzalanması talep edilen evrakları incelendiğinde önceki kiralamalardan farklı olarak kişisel verilerinin işlenmesine dair açık rıza verdiğine ilişkin evrakın da içinde bulunduğunu tespit ettiğini, bunun üzerine kişisel verilerinin işlenmesine rıza göstermek istemediğini, bu nedenle de ilgili evrakı imzalamayacağını çalışana beyan etmesi üzerine araç kiralama işleminin gerçekleştirilmediğini, konuyla ilgili olarak veri sorumlusuna yetkilisi olduğu şirket tarafından başvuruda bulunulduğunu, başvuruya veri sorumlusu tarafından cevap verildiğini ancak cevap yazısından taleplerine yönelik hiçbir cevap veya çözüm önerisinin yer almadığı gerekçesiyle Kurum'dan Kanun kapsamında gereğinin yapılması talep etmiştir.

Kurum tarafından veri sorumlusuna yapılan başvuruların ilgili kişinin yetkilisi olduğu Şirket veya Şirket çalışanları tarafından yapıldığı, veri sorumlusunun da Şirketi muhatap alarak cevap verdiği görüldüğünden Kanunun ilgili maddeleri hakkında bilgi verilerek Kanun kapsamında mağduriyet yaşamış olan Şirket yetkilisinin Kanunda belirtilen usul çerçevesinde öncelikle kendi adına veri sorumlusuna başvuruda bulunması sonrasında ise ilgili kişinin başvurusunun reddedilmesi, verilen cevabın yetersiz bulunması veya süresinde başvuruya cevap verilmemesi hâllerinde ise; Kurul şikâyette bulunulması durumunda konunun incelemeye alınabileceği hususunda bilgi verilmiştir.  İlgili kişi Kurum'un bu yazısına istinaden ayrıca veri sorumlusuna doğrudan da başvuruda bulunduğunu ancak veri sorumlusu tarafından kendisine 30 günlük yasal süre içinde herhangi bir cevap verilmediğini ifade etmiştir.

Kurulun başlatmış olduğu inceleme kapsamında ilettiği savunmada veri sorumlusu;

• Şirketin araç kiralama sektöründe öncü konumda olmakla birlikte tekel niteliğinde olmadığı, müşterilerin serbest piyasa kapsamında dilediği başka araç kiralama şirketinden kiralama yapma olanağının bulunduğunu;
• İgili kişinin veri sorumlusuna 23/03/2018 tarihinde yazılı başvuruda bulunduğu, tarafına derhal yazılı cevap verildiği, şikayete konu edilen 03/08/2018 tarihli yazının içeriği ile ilgili kişinin 23/03/2018 tarihinde gönderdiği ve veri sorumlusu tarafından cevaplanan yazının içeriğinin birebir aynı olduğu, bu nedenle ilgili kişinin tekraren aynı talepleri iletmesinin masraf açısından taraflarınca uygun olmadığının değerlendirilerek cevap verilmediğini;
• Kanun koyucunun yasal düzenlemeye giderek kiralanan tüm araçların Kiralık Araç Bildirim Sistemine (KABİS) girişini zorunlu hale getirdiğini;
• 6638 sayılı Kanun ile değişik 1774 sayılı Kimlik Bildirme Kanununun ilgili hükümlerinin 04/04/2015 tarihinde yürürlüğe girdiğini ve bu düzenlemeye aykırı hareket eden, araç kiralamalarını sisteme girmeyen, istendiğinde bilgileri paylaşmayanlar hakkında cezai yaptırımlar öngörüldüğünü ve buna göre bu bilgilerin araç kiralama şirketi olarak alınmasının zorunlu olduğu, bu bilgilerin bilişim sisteminde arşivlenmesi maksadıyla yüklüce masraf ve gider yapıldığı, ayrıca bunlara veri paylaşım izni verilmediği takdirde fiilen araç kiralaması yapılmasının mümkün olmayacağını da ifade ederek bu nedenlerle açık rıza göstermeyen ilgili kişinin Kanununa aykırı olarak hareket etmemek saikiyle ilgili kişinin kiralama hizmetinden yararlandırılmadığını belirtmiştir.

Konuya ilişkin olarak Kurul tarafından yapılan incelemede;

• İlgili kişinin yetkilisi olduğu tüzel kişilik adına yaptığı ilk başvuru ile, ilgili kişinin kendisi adına yapmış olduğu ikinci başvurunun içeriği benzer olsa da başvuran kişiler açısından farklı olması sebebiyle iki başvurunun aynı nitelikte olmadığı bu sebeple ayrı bir başvuru olarak veri sorumlusu tarafından cevaplanması gerekirken herhangi bir cevap verilmediğinden veri sorumlusunun Kanun kapsamında kendisine yapılan başvurulara Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ'e ("Tebliğ") uygun olarak hareket etmediği;
• Şikayete konu somut olayla ilgili olarak 1174 sayılı Kimlik Bildirme Kanununun Ek 3 üncü maddesinin "Araç kiralama şirketlerinin sorumlu işleticileri ve yöneticileri, kiralanan araç bilgileri ile aracı kiralayanların kimlik bilgileri ve kira sözleşmesi kayıtlarını usulüne uygun şekilde günü gününe tutmak ve bu kapsamda mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerinin her an incelemelerine hazır bulundurmak zorundadır" hükmünü haiz olduğu, bu anlamda aracı kiralayan kişinin kişisel verilerinin ve kiralanan aracın bilgilerinin veri sorumlusu tarafından Emniyet Genel Müdürlüğü tarafından hazırlanan Kiralık Araç Bildirim Sistemine (KABİS) kaydının zorunlu olduğu, dolayısıyla Kanunun 5 inci maddesinin ikinci fıkrasının  (a) bendinde yer alan "Kanunlarda açıkça öngörülmesi" hükmü ve verilen hizmetin ifası amacıyla aynı fıkranın (c) bendinde yer alan "bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması" hükmü gereğince kişisel verilerinin işlendiği
• Ancak Şirket tarafından ilgili kişiye imzalatılmak istenen yazı incelendiğinde "ürüttüğümüz operasyonlarımız kapsamında mevzuatın istisna kıldığı haller haricinde kişisel verilerinizin işlenmesi ve aktarılması hususunda açık rızanızı almamız gerekmektedir." ve "kişisel verilerinizin yasa gereği sözleşmenin ifası için gerektiği ölçüde işlenmesi ve aktarılması halleri haricinde, işbu onayınız ile Şirketimize vereceğiniz kişisel verilerinizin yukarıda belirtilen bilgiler kapsamında işleneceğine, yurtiçi ve yurtdışındaki üçüncü kişilere aktarılacağına rıza göstermektesiniz"  ifadelerine yer verildiğinin tespit edilmesi sebebiyle Kanunun 5 inci maddesinin ikinci fıkrasının söz konusu olmadığı diğer hallerde açık rıza alınması yoluna gidilmesi yolunun seçildiği, şikayete konu olayda da açık rıza verilmemesi halinde hizmetten yararlandırılmadığı dolayısıyla hizmetin açık rıza şartına dayandırıldığı
• Kanunun 5 inci maddesinin ikinci fıkrası kapsamında işlendiği haller haricinde kişisel verilerin işlenmesi ve yurtdışına aktarımın sağlanması amacıyla açık rıza almasının ayrıca açık rızanın hizmetin ve de dolayısıyla sözleşmenin bir koşulu olarak dayatılmasının söz konusu olduğu

tespit edildiğinden;

Veri sorumlusunun Kanun kapsamında kendisine yapılan başvurulara Tebliğe uygun olarak cevap vermesi yönünde talimatlandırılmasına ve Araç kiralama hizmeti alımı esnasında veri sorumlusu tarafından Kanunun 5 maddesinin ikinci fıkrasında yer alan işleme şartları dışındaki haller kapsamında hizmetten faydalanmak isteyen kişilerin kişisel verilerinin işlenmesi amacıyla toptan bir şekilde açık rıza alımı yoluna gidildiği, hizmetin ifası için gerekli olmamasına rağmen kişisel verilerin talep edildiği ve açık rıza verilmemesi durumunda da kişilere hizmet verilmediği dikkate alındığında; hukuka aykırı veri işleme faaliyetinin söz konusu olduğu bu durumun ayrıca Kanunun 4 üncü maddesinde yer alan hukuka ve dürüstlük kurallarına uygun olma ilkesine de aykırılık teşkil etmesi sebebiyle, veri sorumlusunun Kanunun 12 nci maddesinin birinci fıkrasının (a) bendinde öngörülen "Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek" yükümlülüğünü yerine getirmediği kanaatine varıldığından, 50.000 TL idari para cezası uygulanmasına karar verilmiştir.

Originally published 19 March 2021

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.