Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1214 sayılı Karar Özeti


“Bir üniversite tarafından verilen eğitimde, eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi hakkında” Kişisel Verileri Koruma Kurulunun 02/12/2021 tarihli ve 2021/1214 sayılı Karar Özeti

 

Karar Tarihi : 02/12/2021
Karar No : 2021/1214
Konu Özeti : Bir üniversite tarafından verilen eğitimde eğitim alan kişilerin kişisel verilerini içeren yoklama listesinin diğer katılımcılar tarafından görülebilir şekilde düzenlenmesi

 

Kuruma intikal eden şikâyet dilekçesinde özetle; ilgili kişinin Bakanlık tarafından eğitim verilmesi için görevlendirilen bir Üniversite Eğitim Merkezinin  eğitim programına katıldığı, eğitim süresince kursiyerlerin isimlerinin ve T.C. kimlik numaralarının yer aldığı yoklama listelerinin elden elde dolaştırılarak imzalandığı, ayrıca Üniversite ve Bakanlık tarafından kişisel verilerin işlenmesine dair ilgili kişiye aydınlatma yapılmadığı, konuyla ilgili Bakanlığa ve Üniversiteye ayrı ayrı başvuruda bulunduğu, Bakanlığın başvuruya cevap vermediği, Üniversitenin cevabında ise yoklama listelerinin Bakanlık tarafından hazırlandığı ve imza alınmasının  yükümlülükleri olduğunun ifade edildiği belirtilerek veri sorumlusu Bakanlık ve Üniversite hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli idari yaptırımların uygulanması talep edilmiştir. 

Şikâyete ilişkin başlatılan inceleme çerçevesinde Bakanlıktan ve Üniversiteden konuya ilişkin bilgi ve belge talep edilmiş olup Bakanlık tarafından verilen cevapta özetle;

  • …… olarak görevlendirilecek kişilerin görevlerine başlamadan önce eğitim almalarının ve görev yaptıkları sürece eğitime tabi tutulmalarının sağlanacağının ilgili mevzuatta hüküm altına alındığı, şikâyet konusu olan eğitimin, üniversiteler tarafından verildiği, Bakanlık Genel Müdürlüğünün şartları haiz eğitim kuruluşlarına mevzuat uyarınca eğitim izni verdiği, dolayısıyla eğitim faaliyeti ve eğitimin düzenine ilişkin hususların eğitim kuruluşları tarafından yerine getirildiği, Bakanlık ile eğitim kuruluşları arasındaki ilişkinin ilgili yönetmelik hükümleri ile belirlendiği, 
  • Konuya ilişkin mevzuatta ancak eğitimini tamamlayanların mesleki sicile kayıt olabilmeleri için yazılı sınavda başarılı olmaları gerektiğinin düzenlendiği,
  • Eğitimlerinin etkin ve mevzuata uygun bir şekilde gerçekleştirilmesinin sağlanması amacıyla, ilgili mevzuat kapsamında, eğitim programlarının takibi, koordinasyonu ve denetimi için eğitim yönetim sistemi adlı bir yönetim paneli oluşturulduğu, eğitim kuruluşlarının, eğitimlerini mevzuatın gerektirdiği yükümlülüklere uygun bir şekilde gerçekleştirmek durumunda olduğu,
  • Bakanlığın söz konusu hususa ilişkin olarak, veri sorumlusu sıfatı ile sorumluluğunun bulunmadığı,
  • İlgili Yönetmelik kapsamında eğitime katılanların, belgeye dayalı ve eğitim kuruluşlarınca kabul edilen haklı bir mazeretleri olmadıkça eğitim süresince verilen ders ve çalışmalara katılımlarının zorunlu olduğu ve adayın eğitimi başarıyla tamamlamasının, mevzuatta öngörülen sürede eğitime katılmış olması şartını sağlamasına bağlı olduğu,
  • Eğitiminin başarıyla tamamlanmasının, sınav ve sicile kayıt başvurusu için bir ön şart olduğu, 
  • Sınav başvurusu ve şekline ilişkin usul ve esasların düzenlendiği Yönetmeliğin ilgili maddesi uyarınca ilgililer tarafından sınav müracaatında bulunulurken başvuruya T.C. kimlik numarası ve eğitimini tamamladığını gösteren katılım belgesi ile mezuniyet belgesi asılları veya onaylı suretlerinin eklenmesi gerektiğinin hüküm altına alındığı, bu çerçevede ilgilinin yazılı sınava girebilme hakkını taşıyıp taşımadığının Bakanlık tarafından incelendiği, başka bir ifade ile sınav başvurusunun adayın eğitimini başarıyla tamamlayıp tamamlamadığı ve öğrenim yönünden sınava girebilme şartlarını haiz olup olmadığı açısından değerlendirildiği,
  • Katılım belgesinin ise eğitimlerini başarı ile tamamlayan kişilere, eğitim kuruluşları tarafından düzenlenerek verildiği, Bakanlık tarafından, adayın, eğitimini başarıyla tamamlayıp tamamlamadığının ibraz ettiği bu katılım belgesi incelenerek denetlendiği, devam zorunluluğunu takip etme, aksi durumda eğitim programı ile ilişiğini kesme yükümlülüğünün ise Bakanlığa değil, eğitim kuruluşuna ait olduğu, bu nedenle ilgili mevzuat kapsamında adayların derslere devam durumunu gösteren çizelgenin eğitim kuruluşlarınca düzenlenmesi gerektiğinin hüküm altına alındığı,
  • Bakanlık tarafından sınava ve sicile başvuru esnasında devam çizelgesinin değil katılım belgesinin denetlendiği, ileride adayın devam durumuna ilişkin bir itirazının bulunması veya Bakanlığın aleyhine dava açılması ihtimallerine binaen, devam çizelgesinin bir örneğinin Bakanlığa gönderildiği, aslının ise eğitim kuruluşunda saklandığı, dolayısıyla devam çizelgesinin, sınav ve sicil başvurusu esnasında adayın eğitimini başarıyla tamamladığını gösteren ve Bakanlık tarafından incelemesi yapılan katılım belgesine dayanak teşkil eden bir belge niteliğinde olduğu,
  • Diğer yandan, ilgili kişinin Eğitim Merkezinin ilgili eğitim biriminin yoklama listelerini Bakanlık tarafından hazırlanan sistemden aldığı yönünde cevap verdiğine ilişkin beyanıyla ilgili olarak ise; Bakanlık tarafından eğitim kuruluşlarına adaylara ilişkin devam çizelgelerinin T.C. kimlik numaralarıyla birlikte imzalatılması ve sonrasında Bakanlığa gönderilmesi yönünde bir bildirimde bulunulmadığı gibi, hali hazırda devam çizelgesi hazırlama yükümlülüğünün de eğitim kuruluşunda olduğu,  eğitim yönetim sistemi panelinde çıkan listede yer alan T.C. kimlik numaralarına, bir grupta aynı ad ve soyadında birden fazla adayın bulunması halinde çıkabilecek ihtilafın önlenmesi amacıyla yer verildiği, eğitim kuruluşlarının ilgili mevzuatta öngörülen devam çizelgesini düzenlemeyip, eğitim yönetim sisteminde yer alan listeyi kullanmak istemesi durumunda ise çizelgeyi, gerekirse T.C. kimlik numaralarını çıkartmak veya elden ele dolaştırmayarak, adayın eğitmenin yanına gelerek imzasını atmasını sağlamak gibi yöntemlerle ikmal edebileceğinin izahtan vareste olduğu,
  • Öte yandan, ilgili kişinin Bakanlığa yaptığı başvurusuna Bakanlık tarafından cevap verildiği, ilgili kişinin başvurusuna cevap verilmediğine yönelik iddiasının gerçeği yansıtmadığı

ifade edilmiştir.

Üniversite tarafından verilen cevapta ise özetle;

  • Merkez bünyesinde eğitim alan katılımcıların kişisel verilerinin, Kanun’un 5’inci maddesinin (1) ve (2) numaralı fıkralarında yer alan maddelere dayanılarak işlendiği, 
  • Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi ve tebliğ hükümleri gereğince kişisel verilerin işlenmesi sürecine ilişkin olarak, Sürekli Eğitim Merkezinde eğitim öncesinde diğer tüm katılımcılar gibi ilgili kişiyle de, Sözleşme imzalandığı, ilgili mevzuat çerçevesinde katılımcıların devam durumlarını takip etmek üzere yoklama alma zorunluluğu bulunduğu, katılımcıların bu hususları kabul ederek eğitime katıldığı,
  • Yoklama listelerinin tamamının sınıf içerisinde ve her bir dersin sorumlu öğretim elemanının kontrolünde katılımcılara imzalatıldığı, yoklama listelerinin imzalatılmasının katılımcıların eğitime devam durumlarının kayıt altına alınabilmesi için kendilerinin hukuki yükümlülüğü olduğu,
  • Kişisel Verilerin Korunması Kanunu'nun 12’nci maddesi çerçevesinde Merkezin söz konusu eğitime ve katılımcılarına ilişkin bilgi ve belgeleri belirli yöntemlerle topladığı, uhdesinde güvenli olarak sakladığı ve Bakanlık dışında hiçbir şekilde üçüncü kişilerle paylaşmadığı

ifade edilmiştir.

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulu’nun 02/12/2021 tarihli ve 2021/1214 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde veri sorumlusu ve veri işleyen tanımlarına yer verilmekte olup “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, 
  • Şikâyete konu olan eğitimin, üniversiteler tarafından verilebildiği ve bu eğitimin verilmesi sürecinde Bakanlığın izin, takip, koordinasyon ve denetim yönünden yetkili olduğu, eğitim faaliyeti ve eğitimin düzenine ilişkin hususların ise izin verilen eğitim kuruluşları tarafından belirlendiği ve yerine getirildiği, aynı zamanda bu hususlara ilişkin Bakanlık ile eğitim kuruluşları arasındaki ilişkinin yönetmelik hükümleri ile belirlendiği anlaşıldığından şikâyete konu olay çerçevesinde; Bakanlık ve Üniversitenin kişisel veri işleme faaliyeti alanları kapsamında ayrı ayrı veri sorumlusu olarak faaliyette bulunduğu,
  • Kanun’un “Veri Sorumlusuna Başvuru” başlıklı 13’üncü maddesinde “ (1) İlgili kişi, bu Kanunun uygulanmasıyla ilgili taleplerini yazılı olarak veya Kurulun belirleyeceği diğer yöntemlerle veri sorumlusuna iletir.(2) Veri sorumlusu başvuruda yer alan talepleri, talebin niteliğine göre en kısa sürede ve en geç otuz gün içinde ücretsiz olarak sonuçlandırır… (3) Veri sorumlusu talebi kabul eder veya gerekçesini açıklayarak reddeder ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildirir…” hükmünün yer aldığı,
  • Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ’in (Tebliğ) “Başvuru Usulü” başlıklı 5’inci maddesinde, ilgili kişinin Kanun’un 11’inci maddesinde belirtilen hakları kapsamında taleplerini yazılı olarak veya kayıtlı elektronik posta (KEP) adresi, güvenli elektronik imza, mobil imza ya da ilgili kişi tarafından veri sorumlusuna daha önce bildirilen ve veri sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle veya başvuru amacına yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla veri sorumlusuna ileteceği ve Tebliğ’in 6’ncı maddesinde veri sorumlusunun bu tebliğ kapsamında yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğu, veri sorumlusunun başvuruyu kabul edeceği veya gerekçesini açıklayarak reddedeceği ve cevabını ilgili kişiye yazılı olarak veya elektronik ortamda bildireceğinin hüküm altına alındığı,
  • Üniversite tarafından ilgili kişinin başvurusuna cevap verildiği, fakat Bakanlık tarafından ilgili kişinin başvurusuna verilen cevabın Kanun’un 13’üncü maddesi uyarınca veri sorumlularına tanınan 30 günlük süre aşıldıktan sonra gerçekleştirildiğinin tespit edildiği,
  • Diğer taraftan, ilgili kişinin şikâyetinin temel olarak ad, soyad ve T.C. kimlik numarasının bulunduğu devam çizelgesinin ve fatura teslim ve sertifika teslim listelerinin sınıf ortamında elden ele dolaştırılması suretiyle imza alınması nedeniyle T.C. kimlik numarası bilgisinin hukuka aykırı olarak üçüncü kişilerle paylaşıldığı, dolayısıyla kişisel verilerinin güvenliğinin sağlanmadığına ilişkin olduğu, 
  • 6698 sayılı Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin; 

(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.

hükmünü amir olduğu, 

  • Bu kapsamda ilgili kişinin eğitim hakkının gereği gibi yerine getirilmesi ve eğitim sürecinin gerekliliklerinin yerine getirilmesini teminen ilgili kişinin kişisel verilerinin işlenmesine ilişkin hukuki zemin irdelendiğinde; Bakanlığın söz konusu eğitim, sınav, görev ve sorumluluklar, denetim, eğitim verecek kişi, kurum ve kuruluşların nitelikleri ve denetimleri ile …. sicili, eğitim kurumlarının listelerinin düzenlenmesi, gibi hususlarda ilgili Kanun ile görevlendirildiğinin anlaşıldığı,  bu kapsamda ilgili Kanun ile görevlendirilen veri sorumlusu Bakanlığın, 6698 sayılı Kanunun 5’inci maddesinin (2) numaralı fıkrasının (a) bendinde düzenlenen “Kanunlarda açıkça öngörülmesi” ve (ç) bendinde düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü çerçevesinde kişisel veri işleme faaliyetinde bulunduğunun değerlendirildiği,
  • Öte yandan, veri sorumlusu Üniversitenin ilgili Yönetmelikle kendisinden beklenen yükümlülüklerinin ve eğitim sürecinin gerekliliklerinin yerine getirilmesini teminen ilgili kişinin kişisel verilerini Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendinde düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hükmü ile (e) bendinde düzenlenen “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hükmü çerçevesinde işlediği, 
  • Diğer taraftan Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, bu çerçevede kişisel verilerin ancak, 

a)    Hukuka ve dürüstlük kurallarına uygun şekilde, 
b)    Belirli, açık ve meşru amaçlar kapsamında, 
c)    Doğru ve gerektiğinde güncel olma şartıyla, 
ç)    İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma 
d)  İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme 

ilkelerine uygun olarak işlenebileceğinin belirlendiği, “işlendikleri amaçla bağlantılı ve sınırlı olma ilkesi” uyarınca, işlenen kişisel verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olmasının, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirdiği, kişisel verilerin açıkça yer almasının zorunluluk teşkil etmemesi halinde veri işlenirken maskeleme, anonimleştirme gibi yöntemlerin kullanılması gerektiği, 

  • Şikâyet konusu hakkında veri sorumlularından alınan bilgi ve belgeler ilgili mevzuat kapsamında değerlendirildiğinde, kullanılan devam takip çizelgesinde aynı ad ve soyadı bilgisine sahip kişilerin olması gibi durumlarda karışıklığın önlenmesini teminen, kişilerin ad ve soyadı bilgisinin yanı sıra kişiyi belirleyici kılan başka bir verinin (örneğin T.C. kimlik numarasının) kullanılmasının gerekmesi halinde ilgili verinin maskelenerek kullanılması gerektiği,
  • Ayrıca Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesinin; “(1) Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” hükmünü haiz olduğu,
  • Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ”de (Aydınlatma Tebliği) de veri sorumluları veya yetkilendirdiği kişiler tarafından aydınlatma yükümlülüğü kapsamında uyulacak usul ve esasların belirlendiği, Aydınlatma Tebliği’nin 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel veri işlendiği her durumda aydınlatma yükümlülüğünün yerine getirilmesi gerektiği; (d) bendinde aydınlatma yükümlülüğünün yerine getirilmesinin ilgili kişinin talebine bağlı olmadığı ve (e) bendinde aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğunun belirtildiği,
  • Tebliğ’in “Aydınlatma yükümlülüğünün kapsamı” başlıklı 4’üncü maddesinde Kanun’un 10’uncu maddesine göre; kişisel verilerin elde edilmesi sırasında veri sorumluları veya yetkilendirdiği kişilerce, ilgili kişilerin bilgilendirilmesi gerektiği belirtilmiş ve bu yükümlülük yerine getirilirken veri sorumluları veya yetkilendirdiği kişilerce yapılacak bilgilendirmenin asgari olarak veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin Kanunun 11 inci maddesinde sayılan diğer hakları konularını içermesi gerektiğinin ifade edildiği,
  • Konuya ilişkin olarak Üniversiteden alınan yazıda; Kişisel Verilerin Korunması Kanunu’nun 10’uncu maddesi ve Tebliğ hükümleri gereğince kişisel verilerin işlenmesi sürecine ilişkin olarak, Sürekli Eğitim Merkezinde eğitim öncesinde diğer tüm katılımcılar gibi ilgili kişiyle de, sözleşme imzalandığının ifade edildiği, söz konusu sözleşme ile veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilip getirilmediği incelendiğinde; anılan sözleşmede aydınlatma yükümlülüğünün gereği gibi yerine getirilmesini sağlayıcı nitelikteki asgari unsurlar olan; kişisel verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi ve hukuki sebebi ve ilgili kişinin diğer haklarına ilişkin bilgilendirmelere yer verilmediği görüldüğünden veri sorumlusu tarafından aydınlatma yükümlülüğünün gereği gibi yerine getirilmediği sonucuna varıldığı

değerlendirmelerinden hareketle;

  • Bakanlık tarafından ilgili kişinin başvurusuna 30 günlük süreden sonra yanıt verildiği anlaşıldığından Kanun’un 13’üncü maddesi çerçevesinde yapılan başvurulara yanıt verilirken 30 günlük sürenin gözetilmesi yönünde hatırlatmada bulunulmasına,
  • Veri sorumlusu Üniversite tarafından devam takibine yönelik hukuki yükümlülük yerine getirilirken kullanılan devam takip çizelgesinde kişilerin ad ve soyadı dışında kişiyi belirleyici başka bir veriye (T.C. kimlik numarası) yer verilmesinin gerekmesi halinde; ilgili verinin maskelenmesi bu kapsamda devam takip çizelgesinin tekrar gözden geçirilerek uygulamaya geçirilmesi yönünde veri sorumlusu Üniversitenin talimatlandırılmasına ve sonucundan Kurula bilgi verilmesine,
  • İlgili eğitimi veren başka kuruluşların bulunduğu ve benzer uygulamaların söz konusu olabileceği hususları dikkate alındığında, bu eğitimi veren diğer eğitim kuruluşlarına da konu hakkında bilgi verilmesi yönünde Bakanlığa bilgilendirmede bulunulmasına,
  • Kanun’un 15’inci maddesinin (5) numaralı fıkrası çerçevesinde; veri sorumlusu Üniversiteye eğitim verilirken kursiyerlere ait kişisel verilerin işlenmesi sürecinde Kanun’un “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’de yer verilen hükümlere uygun olacak şekilde bir uygulama geliştirmesi ve bu hususa ilişkin olarak Kurula bilgi verilmesi yönünde talimat verilmesine

karar verilmiştir.