27/04/2023
“Kuruma intikal ettirilen şikayet dilekçesinde özetle, bir Üniversitenin Fakülte Dekanı imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı, Üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilmiştir. Kanunun “”Kişisel Verilerin İşlenme Şartları”” başlıklı 5. maddesinin (1) numaralı fıkrasına göre kişisel veriler, ilgili kişinin açık rızası olmaksızın işlenemez. Ancak (2) numaralı fıkra, belirli şartlar altında rızanın aranmayabileceğini belirtmektedir. Bu şartlar arasında, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rıza alınamayacak durumlar, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaatleri gibi durumlar bulunmaktadır.
Ancak, Kanunun 12. maddesi, veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, hukuka aykırı erişimi engellemek ve verilerin güvenliğini sağlamak amacıyla uygun güvenlik düzeyini temin etmekle yükümlü olduğunu belirtir.
Yapılan inceleme sonucunda, ilgili kişinin izin durumuna ilişkin kişisel verilerinin paylaşımının, Kanunun 5. maddesinin belirlediği şartlara uymadığı ve bu durumun Kanunun 12. maddesine aykırılık teşkil ettiği kanaatine varılmıştır. Bu nedenle, veri sorumlusu bünyesinde görev yapan ilgili personele disiplin hükümleri uyarınca işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi için veri sorumlusuna talimat verilmiştir.
“
Kuruma intikal ettirilen şikayet dilekçesinde özetle, bir Üniversitenin Fakülte Dekanı imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı, Üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle; ilgili kişinin izin kullanma tarihlerinin, tüm diğer personel ile birlikte, belli, açık ve meşru amaçlar için işlendiği; ilgili kişinin, diğer personel gibi bir iş sözleşmesine dayalı olarak veri sorumlusu bünyesinde görev yaptığı, ancak personelce bu konuda gerekli hassasiyetin gösterilmediği görülmekte olduğundan ilgili personelin uyarılması maksadıyla verilerin paylaşıldığı, bu gibi durumlarda, kişinin rızası aranmaksızın kişisel verilerinin işlenebileceği, izinlerin kullanımıyla ilgili konuda ilgili kişiyi de kapsayan veri işlenmesinde hukuka aykırılık bulunmadığı, işlemin kurumsal disiplin ve düzen, verimlilik ve kamu yararı, yerleşik idari anlayış ve uygulamalara uygun bulunduğu ifade edilmiştir.
Konuya ilişkin olarak yapılan inceleme neticesinde Kişisel Verileri Koruma Kurulunun 27/04/2023 tarihli ve 2023/646 sayılı Kararı ile;
değerlendirmelerinden hareketle,
karar verilmiştir.
Kaynak:
İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!
YORUMLAR
KVKK Arar, bir OD Privacy projesidir.
©2021 kvkkarar.com. Tüm hakları saklıdır.