Kişisel Verileri Koruma Kurulunun 27/04/2023 Tarihli ve 2023/646 sayılı Karar Özeti


"Bir üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması" hakkında Kişisel Verileri Koruma Kurulunun 27/04/2023 tarihli ve 2023/646 sayılı Karar Özeti

 

Karar Tarihi : 27/04/2023
Karar No : 2023/646
Konu Özeti : Bir üniversite bünyesinde çalışanların özlük bilgilerinin tüm personelle paylaşılması

 

Kuruma intikal ettirilen şikayet dilekçesinde özetle, bir Üniversitenin Fakülte Dekanı imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı, Üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle; ilgili kişinin izin kullanma tarihlerinin, tüm diğer personel ile birlikte, belli, açık ve meşru amaçlar için işlendiği; ilgili kişinin, diğer personel gibi bir iş sözleşmesine dayalı olarak veri sorumlusu bünyesinde görev yaptığı, ancak personelce bu konuda gerekli hassasiyetin gösterilmediği görülmekte olduğundan ilgili personelin uyarılması maksadıyla verilerin paylaşıldığı, bu gibi durumlarda, kişinin rızası aranmaksızın kişisel verilerinin işlenebileceği, izinlerin kullanımıyla ilgili konuda ilgili kişiyi de kapsayan veri işlenmesinde hukuka aykırılık bulunmadığı, işlemin kurumsal disiplin ve düzen, verimlilik ve kamu yararı, yerleşik idari anlayış ve uygulamalara uygun bulunduğu ifade edilmiştir.

Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/04/2023 tarihli ve 2023/646 sayılı Kararı ile;

  • Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin; “kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, ilgili kişinin; “kişisel verisi işlenen gerçek kişi”, veri sorumlusunun ise; “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun hükme bağlandığı,
  • Bununla birlikte Kanun’un 12’nci maddesinin (1) numaralı fıkrasının “Veri sorumlusu; Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, Kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmünü amir olduğu,
  • Somut olayda, her ne kadar veri sorumlusunun cevap yazısında şikâyete konu kişisel veri paylaşımının izin kullanımı konusunda ilgili personelin uyarılması amacıyla Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde düzenlenen “bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” şartına dayanılarak gerçekleştirildiği ifade edilmiş olsa da mezkûr işleme şartının ilgili kişinin izin durumuna ilişkin kişisel verilerinin veri sorumlusu bünyesinde çalışan diğer kişilerle paylaşılması bakımından geçerli olmayacağı,
  • İlgili kişinin izin kullanımı hususunda uyarılması amacıyla ilgili kişinin çalıştığı birimde görevli diğer tüm personelle kişisel verilerinin paylaşılmasının gereklilik arz etmediği ve bu amaçla yalnızca ilgili kişi muhatap alınmak suretiyle alternatif süreçlerin işletilebileceği

değerlendirmelerinden hareketle, 

  • Veri sorumlusu tarafından ilgili kişinin izin durumuna ilişkin kişisel verilerinin ilgili kişinin çalıştığı birimde görevli diğer personelle paylaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinde yer alan işleme şartlarından herhangi birine dayanmadığı ve bu durumun Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varıldığından Kanun’un 18’inci maddesinin (3) numaralı fıkrası uyarınca veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

 karar verilmiştir.