Kuruma intikal ettirilen şikayet dilekçelerinde özetle;
- Üniversite rektörü tarafından ilgili kişilere gönderilen e-posta ile ekinde bulunan dosyada ilgili kişilere ve üçüncü kişilere ait şahsi telefon numaralarının, şahsi e-posta adreslerinin, adres bilgilerinin, HES kodlarının, aşı bilgilerinin, risk durumu vb. kişisel ve özel nitelikteki kişisel verilerinin toplu e-posta gönderisi ile alenileştirmek suretiyle üçüncü kişilere aktarıldığının anlaşıldığı,
- Bunun üzerine, Kişisel Verilerin Korunması Kanunu’nun (Kanun) 11’inci maddesi kapsamında ilgili kişilere ait kişisel ve özel nitelikteki kişisel verilerin işlenip işlenmediği, kişisel ve özel nitelikteki kişisel verilerin işlenme amacı, hukuki sebebi ve bunların amacına uygun kullanılıp kullanılmadığı, yurt içinde ve yurt dışında kişisel verilerinin ve özel nitelikteki kişisel verilerinin aktarıldığı üçüncü kişilerin kimler olduğu hususlarının sorulduğu ve Kanunun 7’nci ve 11’inci maddesi uyarınca; kişisel verilerin imha edilmesi, üçüncü kişilere aktarılan kişisel verilerin imha edilmesi, verilerin gönderildiği kişilerle irtibata geçilip aktarılan kişisel verilerin imha edilmesinin talep edildiği,
- İlgili kişilerin veri sorumlusuna yaptıkları başvuruya, “…ilgili kişilerin de arasında olduğu bir kısım personelin aşı olmadığı halde PCR testi de yaptırmaması nedeniyle üniversite rektörü tarafından aşı olmayan personelin PCR testi yaptırması gerektiği yönünde e-posta atılmış fakat e-posta ekinde sehven Excel dosyası da gönderilmiştir. İlgili e-postada yer alan kişiler üniversitemiz bir kısım çalışanı ve PCR testlerinin takibini sağlamak adına söz konusu personelin idari amirleridir. Tarafınızca yapılan başvuru neticesinde fark edilen bu olay ile ilgili olarak; ilgili e-posta ekinde sehven gönderilmiş bulunan Excel dosyası ile ilgili olarak e-posta gönderilen personel ile iletişime geçilerek e-posta ve eki ilgililerden silinmiştir.” şeklinde yanıt verildiği,
- Ancak, şikâyete konu e-posta gönderisinden önceki bir e-posta gönderisinde de ilgili kişilere ve üçüncü kişilere ait kişisel verilerin toplu e-posta gönderisi ile alenileştirildiği, dolayısı ile işlemin sehven yapılmış olması olanağının bulunmadığı
belirtilerek veri sorumlusu hakkında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup verilen cevapta özetle;
- Veri sorumlusu üniversitenin rektörü tarafından yapılan duyurularda, Covid-19 ile ilgili olarak üniversite tarafından alınan tedbirler çerçevesinde tüm personele aşı olmasının tavsiye edildiği, aşı olmayan personelin de haftada iki kez PCR testi yaptırması gerektiğinin bildirildiği, ilgili kişilerin de arasında olduğu bir kısım personelin aşı olmadığı halde PCR testi de yaptırmaması nedeniyle üniversite rektörü tarafından aşı olmayan kişilerin PCR testi yaptırması gerektiği yönünde e-posta gönderildiği,
- E-posta ekinde sehven bir Excel dosyası da gönderildiği, ilgili e-postada yer alan kişilerin üniversitenin bir kısım çalışanı ve PCR testlerinin takibini sağlamak adına söz konusu personelin idari amirleri olup üçüncü kişi konumunda olmadığı,
- Sehven gönderilen Excel dosyasında da T.C. kimlik numaralarının sadece son üç rakamı, kurumsal e-posta adresleri, varsa özel e-posta adresleri, telefon numaraları ve iş sağlığı ve güvenliğinin sağlanmasını teminen PCR ve aşı takibinin yapılabilmesi için HES durumlarının yer aldığı,
- İlgili e-posta ekinde sehven gönderilmiş bulunan Excel dosyası ile ilgili olarak e-posta gönderilen personel ile iletişime geçilerek e-posta ve ekinin ilgililerden imha edildiği ve bu durumun tutanak altına alındığı,
ifade edilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 01/06/2023 tarihli ve 2023/928 sayılı Kararı ile;
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
- “Özel Nitelikli Kişisel Verilerin” ise Kanun’un 6’ncı maddesinde düzenlendiği ve maddenin (3) numaralı fıkrasında sağlık ve cinsel hayata ilişkin kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği hükme bağlanmış olmakla birlikte söz konusu verilerin yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceği,
- Kanunun “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinin (1) numaralı fıkrasının kişisel verilerin, ilgili kişinin açık rızası olmaksızın aktarılamayacağı, (2) numaralı fıkrasının, kişisel verilerin; (a) 5’inci maddenin ikinci fıkrasında, (b) yeterli önlemler alınmak kaydıyla, 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabileceği ve (3) numaralı fıkrasının da kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğu hükümlerini amir olduğu,
- İlgili Kişilere gönderilen e-posta içeriği ve söz konusu Excel dosyası incelendiğinde, tabloda çalışanlara ait olduğu tahmin edilen ve yalnızca kendileri tarafından bilinebilecek olan cep telefonu numaraları, e-posta adresleri, adres bilgileri, HES kodları, aşı bilgileri, risk durumu bilgileri gibi kişisel ve özel nitelikli kişisel verilerinin açık bir şekilde yer aldığı,
- Bununla birlikte, şikâyete konu e-postaya ilişkin ekran görüntüsünden, gönderinin alıcı kısmında ilgili kişilere ait e-posta adresleri ile beraber üçüncü kişilere ait e-posta adreslerinin yer aldığı görüldüğünden söz konusu tablonun üçüncü kişiler ile paylaşılması hususunun söz konusu ekran görüntüsü ile sabit olduğu,
- Öte yandan, veri sorumlusu e-posta ekinde sehven bir Excel dosyası gönderildiğini belirtmiş olsa da ilgili kişiler adına Kurum’a iletilen şikâyet dilekçesi ve ekleri incelendiğinde söz konusu e-postanın gönderilmesinden önce ilgili kişiler ile birlikte üçüncü kişilere ait kişisel verilerin toplu e-posta gönderisi ile paylaşıldığı görülmüş olup, sehven gönderilme gibi bir durumun kabul edilemeyeceği,
- Diğer yandan, söz konusu e-postanın üniversitenin çalışanları ve idari amirlerine gönderilmesi ile çalışanların aşı bilgileri, risk durumu vb. verilerinin paylaşılmasının, kişisel verilerin üçüncü kişiler ile paylaşılması anlamına geleceği ve şikâyete konu verilerin imha edilmesi hususu veri sorumlusu tarafından cevap yazısı ekinde yer verilen İmha Tutanağı ile tevsik edilmiş olmakla birlikte, söz konusu verilerin yer aldığı e-posta ve ekinin, e-posta gönderilen ilgililerden imha edilmesinin veri ihlalini ortadan kaldırmayacağı
değerlendirmelerinden hareketle;
- Veri sorumlusu üniversite rektörü tarafından ilgili kişilere ait kişisel ve özel nitelikli kişisel verilerin yer aldığı Excel dosyasının e-posta ekinde yer verilerek üçüncü kişilerle paylaşılmasının Kanun’un 5’inci ve 6’ncı maddelerinde belirtilen işleme şartlarına dayanılmaksızın gerçekleştirildiği, bu kapsamda Veri sorumlusunun Kanunun 12’nci maddesinin birinci fıkrasının (b) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik teknik ve idari tedbirleri yeterli düzeyde almadığı,
- Şikâyete konu veri işleme faaliyetinin veri ihlali niteliği taşıdığı ancak veri sorumlusu tarafından Kurul’a bir veri ihlal bildiriminde bulunulmadığının tespit edildiği, bu durumun Kanun’un 12’nci maddesinin beşinci fıkrasında düzenlenen Kurul’a bildirimde bulunma yükümlülüğüne aykırılık teşkil ettiği
kanaatine varılması nedeniyle Kanunun 18’inci maddesinin üçüncü fıkrası kapsamında kamu tüzel kişiliği niteliğindeki veri sorumlusu bünyesinde görev yapan sorumlular hakkında disiplin hükümlerine göre işlem yapılarak sonucundan Kurul’a bilgi verilmesine,
- Diğer taraftan, bundan sonraki süreçte gerçekleşmesi muhtemel veri ihlallerine ilişkin olarak Kanun’un 12’nci maddesinin (5) numaralı fıkrası çerçevesinde Kurul’a bildirimde bulunulması gerektiği ve ayrıca Kurulun 18/09/2019 tarih ve 2019/271 sayılı Kararı ile belirlenen asgari unsurlara uygun olarak işlem yapılması gerektiğinin veri sorumlusuna hatırlatılmasına
karar verilmiştir.