Kişisel Verileri Koruma Kurulunun 04/11/2021 tarihli ve 2021/1127 sayılı Karar Özeti


“Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması” hakkında Kişisel Verileri Koruma Kurulunun 04/11/2021 tarihli ve 2021/1127 sayılı Karar Özeti

 

Karar Tarihi : 04/11/2021
Karar No : 2021/1127
Konu Özeti : Veri sorumlusu Üniversitenin ilgili kişinin kişisel verilerini içeren belgeleri internet sitesinde yayımlaması

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (TÜBİTAK) Başkanlığı tarafından kişisel verileri ihtiva eden 40 sayfalık yazının Yükseköğretim Kurulu (YÖK) Başkanlığına bilgi amaçlı gönderildiği, sonrasında ilgili yazının YÖK Başkanlığı Hukuk Müşavirliği tarafından üst yazı ile üniversitelere bilgi amaçlı gönderildiği, “GİZLİ” ibareli söz konusu yazı ve belgelerin veri sorumlusu Üniversite tarafından tüm Üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta yoluyla gönderildiği, söz konusu belgelerin veri sorumlusu Üniversite Rektörlüğü tarafından internet sitesinde yayımlandığı, ilgili kişinin konuya ilişkin yaptığı başvuruya istinaden veri sorumlusunun verdiği cevapta bu durumun sehven yapıldığının ifade edildiği belirtilerek “GİZLİ” ibareli ve mevcut durumda dava süreci devam eden konuyla ilgili belgelerin ilgisiz üçüncü kişilerle hem e-posta hem internet sitesi aracılığıyla paylaşılması sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında veri sorumlusu hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusu Üniversitenin savunması istenilmiş olup alınan cevabi yazıda özetle;

  • YÖK Başkanlığı Hukuk Müşavirliği tarafından gönderilen üst yazı ekinde sunulan TÜBİTAK Başkanlığının yazısında özetle, TÜBİTAK Araştırma ve Yayın Etiği Kurulu tarafından yapılan incelemeler sonucunda 15 hakemli derginin imtiyaz sahibi ve yayıncısı olan ilgili kişinin "haksız yazarlık" yaptığının tespit edildiği ve bu doğrultuda kendisine 5 yıl süre ile yaptırım uygulanacağı ve ilgili kişinin sahibi ve yazarı olduğu dergilerin "yağmacı yayıncılık" açısından derin kuşkular içermesi nedeniyle akademik teşvik, atama ve yükseltmelerde bu dergilerin değerlendirme dışı bırakılması için gerekli işlemlerin başlatılmasına karar verildiğinin belirtildiği, 
  • Üniversite Rektörlüğü tarafından TÜBİTAK tarafından verilen yaptırım kararı uyarınca "yağmacı yayıncılık" açısından şüpheli bulunan ve akademik teşvik, atama ve yükseltmelerde kullanılması yasaklanan dergilerin Üniversitenin ilgili akademik aktörleri ile paylaşılmasına, bu şekilde YÖK tarafından paylaşılan ilgili yazının gereğinin yerine getirilmesine karar verildiği,
  • Ekinde TÜBİTAK Raporunu barındıran ilgili yazının öncelikle Üniversite içerisinde yalnızca fakülte dekanları ile kurum içi profesyonel haberleşme için kullanılan Elektronik Belge Yönetim Sistemi (EBYS) aracılığıyla paylaşıldığı, bunun dışında e-posta veya benzeri herhangi bir araç ile paylaşım yapılmadığı, söz konusu veri paylaşımının TÜBİTAK Araştırma ve Yayın Etiği Kurulu Kararının gereğinin yerine getirilmesi kapsamında Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi uyarınca hukuki yükümlülüğünün yerine getirilebilmesi için ilgili kişiye ait kişisel verilerin işlenmesinin zorunlu olması şartına ve Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (e) bendi uyarınca, akademik aktörlerin teşvik, atama ve yükseltme işlemlerinin tesis edilebilmesi için bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması şartına dayanılarak gerçekleştirildiği, 
  • Devam eden süreçte, Üniversitede akademik çalışmalar yürütmekte olan öğrenciler ile akademik personelin, "yağmacı yayıncılık" şüphesi kapsamında kullanımı yasaklanan ilgili dergileri çalışmalarına esas alması halinde ilgili kişilerin ve/veya Üniversitenin yaşayabileceği mağduriyet riskleri göz önüne alınarak akademik aktörler tarafından sıkça takip edilen Üniversite internet sitesi üzerinde yayımlanmasına karar verildiği, ilgili verilerin internet sitesinde paylaşılmasında ise, Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendi uyarınca gerek Üniversite gerek Üniversite bünyesindeki akademik aktörlerin hak kaybına uğramaması ve akademik çalışmaların mevzuata ve yetkili kurum kararlarına uygun yürütümünün sağlanması yönündeki meşru menfaatleri için veri paylaşımının zorunlu olması haline dayanıldığı, ilgili kişisel veri işleme şartı yönünden yapılan değerlendirmede ilgili kişinin temel hak ve özgürlüklerine zarar vermeme koşulunun da göz önüne alındığı, şikâyete konu olayın ulusal birçok gazete ve uluslararası platformda erişime açık birçok internet sitesinde yer alması ve kamuoyu tarafından bilinen bir olay olmasından ve paylaşılan bilgilendirmede bu olayı aşar nitelikte kişisel veri paylaşımına yer verilmediğinden hareketle ilgili kişinin temel hak ve özgürlüklerine zarar vermeyecek boyutta bir paylaşım olduğuna kanaat getirildiği, 
  • Veri işleme faaliyetinin TÜBİTAK Başkanlığı tarafından hazırlanan raporun Üniversite fakülte dekanlarıyla EBYS üzerinden paylaşılması ve internet sitesi üzerinden yayımlanması suretiyle gerçekleştirildiği, bu kapsamda ilgili kişiye ait ad-soyadı, unvan, adres bilgisi, imtiyaz sahibi yayıncısı ve/veya temsilcisi olduğu dergi bilgileri, akademik çalışma alanı bilgileri, taraf olduğu dosya ve soruşturma bilgileri, hakkındaki görüş yazıları ve hakkındaki komisyon görüşünün üçüncü kişiler ile paylaşıldığı,
  • İlgili kişinin Üniversite internet sitesi üzerinden yapılan paylaşıma ilişkin olarak yaptığı başvuru doğrultusunda konunun tekrar incelendiği ve olayın üzerinden geçen süreden ve akademik aktörlerin geçen süre zarfında bu konuda bilgilenmiş olmalarından hareketle ilgili kişinin talebinin yerine getirildiği, internet sitesi üzerinden yapılan paylaşımın kaldırıldığı

ifade edilmiştir.

Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulu’nun 04/11/2021 tarihli ve 2021/1127 sayılı Kararı ile;

  • Kanunun “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi, veri sorumlusunun; kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi, kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
  • Yine Kanun’un 4’üncü maddesinin (1) numaralı fıkrasında kişisel verilerin, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği hükmüne, (2) numaralı fıkra gereğince ise kişisel verilerin işlenmesinde “Hukuka ve dürüstlük kurallarına uygun olma; doğru ve gerektiğinde güncel olma; belirli, açık ve meşru amaçlar için işlenme; işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma; ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” ilkelerine uyulmasının zorunlu olduğu hükmüne yer verildiği,
  •  “Kişisel Verilerin İşlenme Şartları” başlıklı Kanunun 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (1) numaralı fıkrasında da, veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlü olduğu hükmünü içerdiği,
  • İlgili kişinin Kanun kapsamındaki haklarının 11’inci maddenin (1) numaralı fıkrasında düzenlendiği, buna göre herkes veri sorumlusuna başvurarak kendisiyle ilgili;

a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7 nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme
haklarına sahip dolduğu,

  • Öte yandan, akademik teşvik, atama ve yükseltmeler ve etik ihlaline ilişkin üniversiteler ve akademisyenler nezdinde dikkate alınması gereken yasal düzenlemeler incelendiğinde;
    • 12.06.2018 tarihli ve 30449 sayılı Resmi Gazete’de yayımlanan Öğretim Üyeliğine Yükseltilme ve Atanma Yönetmeliği’nin 12’nci maddesinin birinci fıkrasında, “Profesör kadrolarına atanabilmek için doçentlik unvanını aldıktan sonra en az beş yıl açık bulunan profesörlük kadrosu ile ilgili bilim alanında çalışmış olmak, kendi bilim alanında uluslararası düzeyde orijinal eserler vermiş olmak ve uygulama alanı bulunan dallarda uygulamaya yönelik çalışmalarda bulunması gereklidir.” hükmüne,
    • 18.02.1982 tarihli ve 17609 sayılı Resmi Gazete’de yayımlanan Üniversitelerde Akademik Teşkilat Yönetmeliği’nin 8’inci maddesinin (b) bendinin son paragrafında, “Dekan; fakültenin ve bağlı birimlerinin öğretim kapasitesinin rasyonel bir şekilde kullanılmasında ve geliştirilmesinde, gerektiği zaman güvenlik önlemlerinin alınmasıyla, öğrencilere gerekli sosyal hizmetlerin sağlanmasında, eğitim-öğretim, bilimsel araştırma ve yayın faaliyetlerinin düzenli bir şekilde yürütülmesinde, bütün faaliyetlerin gözetim ve denetiminin yapılmasında, takip ve kontrol edilmesinde ve sonuçlarının alınmasında Rektöre karşı birinci derecede sorumludur.” hükmüne,
    • 15.04.2018 tarihli ve 30392 sayılı Resmî Gazete’de yayımlanan Doçentlik Yönetmeliği’nin 6’ncı maddesinin birinci fıkrasında, “Doçentlik değerlendirme jürisi, adayın başvuru dosyasını ilk olarak bilimsel araştırma ve yayın etiğine aykırılık bulunup bulunmadığı ve asgari başvuru şartlarının sağlanıp sağlanmadığı yönünden değerlendirir…”hükmüne yer verildiği, 
  • İlgili kişiye ait kişisel verileri içeren belgenin tüm üniversite çalışanlarına akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiği iddiasının değerlendirilmesi neticesinde; ilgili kişinin, kendisinin kişisel verilerini içeren belgenin veri sorumlusu tarafından tüm üniversite çalışanlarına, akademik ya da akademik olmayan ilgili ya da ilgisiz tüm personele e-posta olarak gönderildiğini iddia etmesine karşılık bu iddiasına ilişkin tevsik edici bilgi ve belge sunulmadığından ilgili kişiye ait kişisel verileri içeren belgenin EBYS aracılığıyla fakülte dekanlarına gönderildiği yönünde değerlendirme yapılmış olup mevzuatın incelenmesi neticesinde, akademik teşvik, atama ve yükseltmelere etki edecek nitelik taşıyan belgede yer alan ilgili kişiye ait kişisel verilerin veri sorumlusu Üniversite tarafından fakülte dekanları ile EBYS aracılığıyla paylaşılmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartlarına dayanması sebebiyle Kanun’a aykırılık teşkil etmediği,
  • İlgili kişiye ait kişisel verileri içeren belgenin üniversiteye ait internet sitesi üzerinden paylaşılmasına ilişkin değerlendirmede; TÜBİTAK Başkanlığı tarafından YÖK Başkanlığına gönderilen yazıda, ilgili kişinin sahibi ve yazarı olduğu ekli listede isimleri verilen dergilerin "yağmacı yayıncılık" açısından derin kuşkular içermesi nedeniyle akademik teşvik, atama ve yükseltmelerde söz konusu dergilerin değerlendirme dışı bırakılması için gerekli işlemlerin başlatılmasının ifade edildiği dikkate alındığında; fakülte dekanlarına ilgili belgenin gönderilmesine ilişkin incelenen ilgili mevzuat kapsamında, veri sorumlusunun savunmasında iddia ettiği üzere Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (f) bendinde yer alan meşru menfaat işleme şartı kapsamında değerlendirilememekle birlikte aynı fıkranın (e) bendine göre bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması şartına uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin mevcut olduğu kanaatine varılabileceği,
  • Ancak her ne kadar veri sorumlusu Üniversite tarafından ilgili kişiye ilişkin kişisel verileri içeren belge, Üniversitenin herkesin ilk aşamada ulaşabileceği tanıtım ve bilgi amaçlı kullanılan ve tüm ziyaretçilere açık olan adresten farklı olarak bilimsel çalışmalarda bulunan akademik aktörler tarafından proje geliştirme amacıyla kullanılan akademik kullanım amaçlı site üzerinden yayımlanmış ve veri sorumlusu tarafından ilgili kişinin başvurusu sonrası paylaşımın sehven yapıldığı belirtilmek suretiyle kaldırılmış olsa da yüksek lisans ve doktora öğrencileri ile akademik personeli bilgilendirme amacını aşacak şekilde, TÜBİTAK Başkanlığı tarafından YÖK Başkanlığına “GİZLİ” olarak gönderilen belgede yer alan üçüncü kişilere ait kişisel verilerin, ilgili kişiye ait adres bilgisi, taraf olduğu soruşturma bilgileri, hakkındaki görüş yazıları ve komisyon görüşü gibi kişisel verilerin tamamının veri sorumlusu tarafından Üniversiteye ait internet sitesinde paylaşılması ile veri minimizasyonu ilkesine aykırı hareket edildiği, bu anlamda Kanun’un 4’üncü maddesinin ikinci fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerinin gözetilmediği

değerlendirmelerinden hareketle;

  • Akademik teşvik, atama ve yükseltmelere etki edecek nitelikte belgede yer alan ilgili kişiye ilişkin kişisel verilerin fakülte dekanları ile Kurumun EBYS sistemi aracılığıyla paylaşılmasının Kanun’un 5’inci maddesinin ikinci fıkrasının (ç) ve (e) bentleri çerçevesinde veri sorumlusunun hukuki yükümlüğünü yerine getirebilmesi ve bir hakkın tesisi, kullanılması veya korunması için veri işlenmesinin zorunlu olması işleme şartları kapsamında hukuka uygun olduğu değerlendirildiğinden bu hususta Kanun kapsamında yapılacak işlem olmadığına,
  • Belgede yer alan ilgili kişiye ait kişisel verilerin akademik çalışmalar için kullanılan Üniversiteye ait internet sayfasında yayımlanmak suretiyle Kanun’un 5’inci maddesinin ikinci fıkrasının (e) bendine uygun olarak kullanımı yasaklanan söz konusu dergilerin çalışmalarda esas alınmaması adına veri sorumlusu Üniversitenin yüksek lisans ve doktora öğrencileri ile akademik personele bilgi vermesi gerekliliğinin Kanun’a uygun olduğu değerlendirilmekle birlikte veri sorumlusu tarafından bilgilendirme amacını aşacak nitelikte söz konusu belgede yer alan kişisel verilerin tamamının Üniversiteye ait internet sitesinde paylaşılmasının Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (ç) bendi gereğince kişisel verilerin işlenmesinde işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine aykırılık teşkil ettiği ve bu doğrultuda Kanun’un 12’nci maddesinin birinci fıkrasına aykırı olarak veri sorumlusu Üniversite tarafından kişisel verilerin güvenliğine yönelik gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından sorumlular hakkında Kanun’un 18’inci maddesinin (3) numaralı fıkrası çerçevesinde işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesine 

karar verilmiştir.