Universal 22 Nov, 2024 universal
Bir Üniversite Bünyesindeki Çalışanların Özlük Bilgilerini Tüm Personelle Paylaşan Veri Sorumlusu Hakkında Talimatlandırma Kararı
Bir üniversitenin fakülte dekanının imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı ve üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilerek veri sahibi ilgili kişi tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında gereğinin yapılması talep edilmiştir.
Kişisel Verileri Koruma Kurulu (“Kurul”), 27/04/2023 tarihli ve 2023/646 sayılı kararında[1],
- Her ne kadar veri sorumlusu üniversitenin savunması “ilgili kişinin izin konusunda gerekli hassasiyeti göstermediğinden bahisle ilgili kişinin uyarılması amacıyla verilerin paylaşıldığı” yönünde olsa da veri sahibi ilgili kişinin izin kullanımı hususunda uyarılması amacıyla ilgili kişinin çalıştığı birimde görevli diğer tüm personelle kişisel verilerinin paylaşılmasının gereklilik arz etmediği ve bu amaçla yalnızca ilgili kişi muhatap alınmak suretiyle alternatif süreçlerin işletilebileceği,
- İlgili kişinin izin durumuna ilişkin kişisel verilerinin ilgili kişinin çalıştığı birimde görevli diğer personelle paylaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanunda yer alan herhangi bir veri işleme şartına dayanmadığı,
- Bu durumun veri sorumlusu üniversitenin “kişisel verilerin hukuka aykırı olarak işlenmesini önleme” yükümlülüğüne aykırı olduğu,
- Veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılması
yönünde karar verilmiştir.
Özetle;
Veri işleme faaliyetinde bulunan veri sorumlularının;
- “İlgili kişilere ait kişisel verilerin hukuka aykırı olarak işlenmesini önleme” yükümlülüğüne riayet etmesi,
İlgili kişilerin kişisel verilerinin işlenmesi ve/veya aktarımında yalnızca meşru bir amacın varlığı halinde kişisel verilerin işlenmesi ve aktarımına konu edilmesi,
Veri sahibi ilgili kişiye/kişilere ait kişisel verileri işlerken, azami özen ve dikkat yükümlülüğünü yerine getirmesi,
- Kişisel verilerin yalnızca veri işleme faaliyetleri ile bağlantılı kişilerce işlenmesi ve operasyonların yürütülmesi bakımından yetkili kişilerin erişimine açılması,
- Veri işleme faaliyetlerinde ilgili kişilerin kişisel verilerine daha az müdahaleci yöntemlerin seçilmesi
[1] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7757/2023-646.
Bir üniversitenin fakülte dekanının imzasıyla gönderilen bir e-posta ekinde bulunan dosya ile, ilgili kişinin kendisinin ve Üniversitede çalışan tüm öğretim üyelerinin sicil numaralarını, çalıştıkları birimi ve izin durumlarını gösterir verilerin Fakültenin idari ve akademik tüm kadrosuna aktarıldığı ve üniversite tarafından bu verilerin herhangi bir ayrım veya gerekçeye dayanmadan toplu bir e-posta ile tüm personelle paylaşılmasının hukuka aykırı olduğu hususları belirtilerek veri sahibi ilgili kişi tarafından 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında gereğinin yapılması talep edilmiştir.
Kişisel Verileri Koruma Kurulu (“Kurul”), 27/04/2023 tarihli ve 2023/646 sayılı kararında[1],
- Her ne kadar veri sorumlusu üniversitenin savunması “ilgili kişinin izin konusunda gerekli hassasiyeti göstermediğinden bahisle ilgili kişinin uyarılması amacıyla verilerin paylaşıldığı” yönünde olsa da veri sahibi ilgili kişinin izin kullanımı hususunda uyarılması amacıyla ilgili kişinin çalıştığı birimde görevli diğer tüm personelle kişisel verilerinin paylaşılmasının gereklilik arz etmediği ve bu amaçla yalnızca ilgili kişi muhatap alınmak suretiyle alternatif süreçlerin işletilebileceği,
- İlgili kişinin izin durumuna ilişkin kişisel verilerinin ilgili kişinin çalıştığı birimde görevli diğer personelle paylaşılması suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanunda yer alan herhangi bir veri işleme şartına dayanmadığı,
- Bu durumun veri sorumlusu üniversitenin “kişisel verilerin hukuka aykırı olarak işlenmesini önleme” yükümlülüğüne aykırı olduğu,
- Veri sorumlusu bünyesinde görev yapan ilgili personel hakkında disiplin hükümlerine göre işlem yapılması ve işlemin sonucu hakkında Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılması
yönünde karar verilmiştir.
Özetle;
Veri işleme faaliyetinde bulunan veri sorumlularının;
- “İlgili kişilere ait kişisel verilerin hukuka aykırı olarak işlenmesini önleme” yükümlülüğüne riayet etmesi,
İlgili kişilerin kişisel verilerinin işlenmesi ve/veya aktarımında yalnızca meşru bir amacın varlığı halinde kişisel verilerin işlenmesi ve aktarımına konu edilmesi,
Veri sahibi ilgili kişiye/kişilere ait kişisel verileri işlerken, azami özen ve dikkat yükümlülüğünü yerine getirmesi,
- Kişisel verilerin yalnızca veri işleme faaliyetleri ile bağlantılı kişilerce işlenmesi ve operasyonların yürütülmesi bakımından yetkili kişilerin erişimine açılması,
- Veri işleme faaliyetlerinde ilgili kişilerin kişisel verilerine daha az müdahaleci yöntemlerin seçilmesi
[1] Detaylı bilgi için bkz. https://www.kvkk.gov.tr/Icerik/7757/2023-646.