Bir devlet üniversitesinde misyonlu memur, evvelden vazife yaptığı üniversiteye iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında bilgi sorumlusundan kendisine bilgi verilmesini talep etmiştir. Data sorumlusu ise ilgilinin başvurusunu halihazırda misyonlu olduğu Üniversitenin Meslek Yüksekokulu Müdürlüğüne herkesin görebileceği formda yanıtlamıştır. Memur, 6698 sayılı Şahsî Dataların Korunması Kanunu kapsamında gerekli önlemlerin alınmadığını söz ederek KVKK’ya başvurmuştur.
Bilgi Sorumlusu savunmasında; ilgili kişinin gönderdiği dilekçenin geldiği sistem üzerinden ilişki kurularak, dilekçesine rastgele bir kasıt olmaksızın yanıtla butonu ile cevap verildiği için direkt çalıştığı üniteye gitmesine neden olunduğu, bu çerçevede kişilik haklarının korunması unsuru doğrultusunda zedeleyici/yıpratıcı bir tavır sergilenmesinin kelam konusu olmadığı söz edilmiştir.
Şahsî Bilgilerin Korunması Kurumu tarafından yapılan değerlendirmede, yetkisi olmayan şahıslar tarafından ilgili kişinin datalarına erişildiği dikkate alındığında bilgi sorumlusunca ferdî dataların korumasına yönelik bilgi güvenliğine ait gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşılarak, data sorumlusu hakkında kurumunca gerekli süreçlerin yapılmasına karar verilmiştir.
Karar Tarihi
:
05/05/2020
Karar No
:
2020/336
Bahis Özeti
:
İlgili kişinin kendisine iletilmesi gereken karşılık yazısının bilgi sorumlusu tarafından resmi yazı formunda, çalıştığı üniteye gönderilmesi
İlgili bireyden alınan şikayet dilekçesinde özetle; daha evvel çalışanı olduğu data sorumlusu Üniversitenin Sanat Tarihi Kısmına iletmiş olduğu dilekçesinin akıbeti hakkında 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında bilgi sorumlusundan kendisine bilgi verilmesini talep ettiği, bu kapsamdaki talebine ait yanıtın, direkt ve yalnızca kendisine verilmesi gerekirken müracaatının halihazırda misyonlu olduğu tıpkı Üniversitenin Meslek Yüksekokulu Müdürlüğüne, tüm taraflara açık biçimde yazılmış ve çalışana iletilen alelade resmi yazı biçiminde iletildiği, üçüncü şahısların erişimine açılan ferdî bilgilerinin 6698 sayılı Ferdî Dataların Korunması Kanunu (Kanun) kapsamında korunmasına yönelik olarak bilgi sorumlusundan gerekli önlemleri almasını talep ettiği lakin yasal mühlet içinde gerekli önlemlerin alınmadığı ve tarafına karşılık verilmediği belirtilerek 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.
Hususa ait başlatılan inceleme çerçevesinde data sorumlusundan savunması istenilmiş olup, alınan karşılığı yazıda özetle;
- İlgilinin müracaatında yazı içeriğinde kendisine ilişkin isim, soyad, unvan ve sicil numarasına yer verilerek şahsî bilgilerinin üçüncü bireylerin erişimine açıldığının belirtildiği fakat ilgilinin aslında Üniversiteye bağlı bir ünitede vazifeli olduğundan bu bilgilerin çalıştığı ünitede bulunması mecburî olan bilgiler olduğu, münasebetiyle şahsî bilgilerinin üçüncü bireylerin erişimine açıldığı argümanının gerçek durumla bağdaşmadığının düşünüldüğü,
- İlgili kişinin gönderdiği dilekçenin geldiği sistem üzerinden ilişki kurularak, dilekçesine rastgele bir kasıt olmaksızın karşılıkla butonu ile cevap verildiği için direkt çalıştığı üniteye gitmesine neden olunduğu,
- Bu çerçevede kişilik haklarının korunması prensibi doğrultusunda zedeleyici/yıpratıcı bir tavır sergilenmesinin kelam konusu olmadığı,
Söz edilmiştir.
Mevzuya ait olarak yapılan incelemede, Ferdî Dataları Muhafaza Şurasının 05/05/2020 tarihli ve 2020/336 sayılı Kararı ile,
- Bilgi Sorumlusuna Müracaat Yol ve Asılları Hakkında Bildirinin (Tebliğ) “Başvuru Usulü” başlıklı 5 inci hususunda, ilgili kişinin Kanunun 11 inci unsurunda belirtilen hakları kapsamında taleplerini yazılı olarak yahut kayıtlı elektronik posta (KEP) adresi, inançlı elektronik imza, taşınabilir imza ya da ilgili kişi tarafından data sorumlusuna daha evvel bildirilen ve bilgi sorumlusunun sisteminde kayıtlı bulunan elektronik posta adresini kullanmak suretiyle yahut müracaat emeline yönelik geliştirilmiş bir yazılım ya da uygulama vasıtasıyla data sorumlusuna ileteceği ve Bildirimin 6 ncı unsurunda de data sorumlusunun bu bildiri kapsamında yapılacak müracaatları faal, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik önlemleri almakla yükümlü olduğu, bilgi sorumlusunun başvuruyu kabul edeceği yahut münasebetini açıklayarak reddedeceği ve karşılığımı ilgili bireye yazılı olarak yahut elektronik ortamda bildireceğinin karar altına alındığı,
- Gerçekten data sorumlusunun Kanunun 13 üncü unsuru kapsamında kendisine yapılan müracaata yanıt vermemesinin Bildirinin 6 ncı unsurunda yer alan müracaatları faal, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne muhalif olduğu değerlendirildiğinden ilgili bilgi sorumlusu tarafından 6698 sayılı Kanun kapsamında kendilerine yapılan müracaatlara Bildiriye uygun olarak karşılık verilmesi konusunda azami dikkat ve ihtimamın gösterilmediği,
- Öteki taraftan, Kanunun “Kişisel Bilgilerin İşlenme Şartları” başlıklı 5 inci hususunun birinci fıkrasında ferdî bilgilerin ilgili kişinin açık isteği olmaksızın işlenemeyeceği, ikinci fıkrasında ise Kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle isteğini açıklayamayacak durumda bulunan yahut isteğine hukuksal geçerlilik tanınmayan kişinin kendisinin ya da bir oburunun hayatı yahut vücut bütünlüğünün korunması için zarurî olması, bir kontratın kurulması yahut ifasıyla direkt doğruya ilgili olması kaydıyla, mukavelenin taraflarına ilişkin şahsî bilgilerin işlenmesinin gerekli olması, data sorumlusunun hukuksal yükümlülüğünü yerine getirebilmesi için mecburî olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması yahut korunması için data işlemenin mecburî olması ve ilgili kişinin temel hak ve özgürlüklerine ziyan vermemek kaydıyla, data sorumlusunun yasal menfaatleri için data işlenmesinin zarurî olması kurallarından birinin varlığı halinde, ilgili kişinin açık isteği aranmaksızın ferdî bilgilerin işlenmesinin mümkün olduğu kararlarının yer aldığı,
- Şahsî bilgilerin işlenmesi faaliyetinin Kanunun 3 üncü hususunda şahsî dataların büsbütün yahut kısmen otomatik olan ya da rastgele bir data kayıt sisteminin kesimi olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, koruma edilmesi, değiştirilmesi, yine düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi üzere bilgiler üzerinde gerçekleştirilen her türlü süreç olarak tanımlandığı, bu çerçevede müracaata mevzu olayda ilgili kişinin Bilgi Edinme Hakkı Kanunu kapsamında bilgi sorumlusuna müracaatına verilen cevabın, ilgili kişinin çalıştığı üniteye gönderilmesi suretiyle ferdî datalarının açıklanmasında Kanunun 5 inci unsuru kapsamında rastgele bir tüzel destek kelam konusu olmadığından bilgi sorumlusu tarafından Kanunun 12 inci unsurunun (1) numaralı fıkrası kapsamında ferdî bilgilerin hukuka muhalif olarak işlenmesini önlemek hedefiyle uygun güvenlik seviyesini temin etmeye yönelik gerekli her türlü teknik ve idari önlemlerin alınmadığı kanaatine varıldığı,
- 6698 sayılı Kanunun 18 inci unsurunun birinci fıkrasının (b) bendinde Kanunun 12 nci hususunda öngörülen bilgi güvenliğine ait yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği ile birebir hususun üçüncü fıkrasında birinci fıkrada sayılan aksiyonların kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi halinde, Heyetin yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda vazife yapan memurlar ve öteki kamu vazifelileri ile kamu kurumu niteliğindeki meslek kuruluşlarında vazife yapanlar hakkında disiplin kararlarına nazaran süreç yapılacağı ve sonucunun Şuraya bildirileceğinin karara bağlandığı,
değerlendirmelerinden hareketle;
- Data sorumlusunun 6698 sayılı Kanunun 13 üncü unsuru kapsamında kendisine yapılan müracaata karşılık vermemesinin Bildirinin 6 ncı unsurunda yer alan müracaatları faal, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırma yükümlülüğüne muhalif olduğu değerlendirildiğinden bilgi sorumlusunun 6698 sayılı Kanun kapsamında kendilerine yapılan müracaatlara Bildiriye uygun olarak yanıt verilmesi konusunda azami dikkat ve ihtimamın gösterilmesi konusunda talimatlandırılmasına,
- Bilgi sorumlusunun kelam konusu uygulaması sonucunda yetkisi olmayan bireyler tarafından ilgili kişinin datalarına erişildiği dikkate alındığında bilgi sorumlusunca şahsî bilgilerin korumasına yönelik bilgi güvenliğine ait gerekli yükümlülüklerin yerine getirilmediği kanaatine ulaşıldığından, data sorumlusunun Kanunun 12 nci hususunun birinci fıkrasına terslik teşkil eden uygulaması nedeniyle sorumlular hakkında Kanunun 18 inci unsurunun üçüncü fıkrası çerçevesinde süreç yapılmasına ve sürecin sonucu hakkında Heyete bilgi verilmesine
Karar verilmiştir.
Memurlar
