Kişisel Verileri Koruma Kurulunun 01/06/2023 tarihli ve 2023/938 sayılı Karar Özeti

"Bir üniversite tarafından, öğrencisi olan ilgili kişinin elektronik posta adresine günlük elektronik postalar gönderilmesi" hakkında Kişisel Verileri Koruma Kurulunun 01/06/2023 tarihli ve 2023/938 sayılı Karar Özeti

Kuruma intikal ettirilen şikayette özetle; 

• İlgili kişinin Üniversitenin öğrencisi olduğu, Üniversite tarafından kendisinin elektronik posta adresine kendisiyle doğrudan alakası olmayan ve içeriklerinin ilgi alanına girmediği günlük elektronik postalar gönderildiği, 
• Söz konusu elektronik postaları almak istemediği ve bu konuda üniversiteye birçok defa başvuruda bulunduğu ve e-posta listesinden çıkmak istediğini belirttiği, 
• Buna rağmen kişisel verisi niteliğinde olan elektronik posta adresinin Üniversite tarafından işlenmeye ve listede tutulmaya devam edildiği 

ifade edilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde ilgili üniversiteden savunması istenilmiş olup alınan cevabi yazıda özetle; 

• İlgili kişinin Üniversitenin kurumsal platformu tarafından günlük otomatik olarak gönderilen; akademik ve idari duyuruların ve etkinliklerin sadece konsolide konu listesini içeren özet elektronik postaları almak istemediği, 
• Söz konusu elektronik postanın, duyuru ve etkinlik bilgilendirmeleri oluşturulurken tanımlanan ilgili hedef kullanıcı grubuna, günlük periyotta sistem tarafından otomatik olarak gönderildiği ve gönderi içeriğinde muhatap öğrencinin öğretim hakkıyla doğrudan ilgili olan “tüm akademik ve idari duyurulara, eğitim süreçlerine ilişkin güncel bilgilere, kampüs gelişmelerine&etkinliklerine, İş Sağlığı & Güvenliği ve Bilgi Güvenliği” bilgilendirmelerine yer verildiği, 
• 2017 öncesinde kurum içi iletişimin elektronik posta ile gerçekleştirildiği ve kullanıcılara bir gün içerisinde farklı akademik ve idari birimlerden çok sayıda elektronik posta geldiği, 2021 yılında ise sadece konsolide konu listesini içeren özet liste niteliğindeki elektronik posta gönderim sürecinin başlatıldığı, 
• Söz konusu elektronik postaların, kullanıcılara üniversite tarafından tahsis edilen edu.tr uzantılı kurumsal e-posta adreslerine gönderildiği, şikâyete konu olan elektronik postaların da ilgili kişiye tahsis edilen kurumsal elektronik posta adresine iletildiği, 
• İlgili kişiye, şikâyete konu sürecin genel işleyişi hakkında bilgi verildiği ve kişisel olarak bir çözüm sağlayabilmesi için elektronik posta klasör düzenlemesi önerilerinde bulunulduğu, 
• Üniversiteye ait platformun iç iletişim fonksiyonu çerçevesinde kullanıcıların meşru menfaatlerini sağlama sorumluluğu, fiziksel güvenlik, iş sağlığı güvenliği ve bilgi güvenliği açısından taşıdığı riskler nedeniyle, kullanıcıların taleplerine istinaden bu gönderim listesinden çıkartılmalarının uygun değerlendirilmediği, 
• İlgili kişiye bilgisi verilen geliştirme ve gönderi listesinden çıkarılması sürecinin de bu nedenle iptal edildiği

ifade edilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 01/06/2023 tarih ve 2023/938 sayılı Kararı ile; 

• Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı, 
• Kanun’un, “Veri sorumlusunun aydınlatma yükümlülüğü” başlıklı 10 uncu maddesinin (1) numaralı fıkrasında, “Kişisel verilerin elde edilmesi sırasında veri sorumlusu veya yetkilendirdiği kişi, ilgili kişilere; a) Veri sorumlusunun ve varsa temsilcisinin kimliği, b) Kişisel verilerin hangi amaçla işleneceği, c) İşlenen kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, ç) Kişisel veri toplamanın yöntemi ve hukuki sebebi, d) 11 inci maddede sayılan diğer hakları, konusunda bilgi vermekle yükümlüdür.” denilerek ilgili kişilere yapılacak bilgilendirmenin asgari olarak içermesi gereken konuların belirtildiği, 
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğin “Usul ve esaslar” başlıklı 5’inci maddesinin (1) numaralı fıkrasının (a) bendinde ilgili kişinin açık rızasına veya Kanundaki diğer işleme şartlarına bağlı olarak kişisel verinin işlendiği her durumda aydınlatma yükümlülüğünün yerine getirilmesi gerektiği; (b) bendinde kişisel veri işleme amacı değiştiğinde, veri işleme faaliyetinden önce bu amaç için aydınlatma yükümlülüğünün ayrıca yerine getirilmesi gerektiği; (ç) bendinde Sicile kayıt yükümlülüğünün bulunması durumunda, aydınlatma yükümlülüğü çerçevesinde ilgili kişiye verilecek bilgilerin, Sicile açıklanan bilgilerle uyumlu olması gerektiği; (d) bendinde aydınlatma yükümlülüğünün yerine getirilmesinin, ilgili kişinin talebine bağlı olmadığı; (e) bendinde Aydınlatma yükümlülüğünün yerine getirildiğinin ispatının veri sorumlusuna ait olduğu; (f) bendinde kişisel veri işleme faaliyetinin açık rıza şartına dayalı olarak gerçekleştirilmesi halinde, aydınlatma yükümlülüğü ve açık rızanın alınması işlemlerinin ayrı ayrı yerine getirilmesi gerektiği; (g) bendinde aydınlatma yükümlülüğü kapsamında açıklanacak kişisel veri işleme amacının belirli, açık ve meşru olması, aydınlatma yükümlülüğü yerine getirilirken, genel nitelikte ve muğlak ifadelere yer verilmemesi ve gündeme gelmesi muhtemel başka amaçlar için kişisel verilerin işlenebileceği kanaatini uyandıran ifadelerin kullanılmaması gerektiği; (ğ) bendinde aydınlatma yükümlülüğü kapsamında ilgili kişiye yapılacak bildirimin anlaşılır, açık ve sade bir dil kullanılarak gerçekleştirilmesi gerektiği; (h) bendinde Kanun’un 10’ uncu maddesinin (1) numaralı fıkrasının (ç) bendinde yer alan “hukuki sebep” ten kastın, aydınlatma yükümlülüğü kapsamında kişisel verilerin Kanun’un 5 ve 6’ncı maddelerinde belirtilen işleme şartlarından hangisine dayanılarak işlenmesi olduğu ve Aydınlatma yükümlülüğünün yerine getirilmesi esnasında hukuki sebebin açıkça belirtilmesi gerektiği; (ı) bendinde Aydınlatma yükümlülüğü kapsamında, kişisel verilerin aktarılma amacı ve aktarılacak alıcı gruplarının belirtilmesi gerektiği; (i) bendinde aydınlatma yükümlülüğü kapsamında kişisel verilerin, tamamen veya kısmen otomatik yollarla ya da veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yöntemlerden hangisiyle elde edildiğinin açık bir şekilde belirtilmesi gerektiği; (j) bendinde ise Aydınlatma yükümlülüğü yerine getirilirken eksik, ilgili kişileri yanıltıcı ve yanlış bilgilere yer verilmemesi gerektiği hükümlerinin yer aldığı,
• Yapılan incelemede veri sorumlusu tarafından ilgili kişinin kurumsal elektronik posta adresine farklı tarihlerde elektronik posta gönderildiğinin anlaşıldığı; söz konusu elektronik postaların içeriğinde veri sorumlusu bünyesinde yapılan etkinliklerin, idari faaliyetlerin, eğitim olanaklarının ve veri sorumlusunun yapmış olduğu diğer duyuruların bulunduğunun tespit edildiği; aynı zamanda, söz konusu elektronik postaların veri sorumlusu tarafından ilgili kişiye tahsis edilen edu.tr uzantılı kurumsal elektronik posta adreslerine gönderildiğinin belirtildiği ancak elektronik posta adresinin veri sorumlusu tarafından ilgili kişiye tahsis edilmesinin söz konusu elektronik posta adresinin kişisel veri olma niteliğini değiştirmeyeceği
• İlgili kişi tarafından veri sorumlusunun kurumsal çözüm merkezine söz konusu elektronik postaları almak istemediği ve kendisinin gönderim listesinden çıkarılması talep edilmesine rağmen veri sorumlusunun çözüm merkezi çalışanları tarafından her defasında söz konusu işlemin uzun bir zaman alacağı, üst yönetime bu durumun raporlanacağı ve söz konusu elektronik postalar için ilgili kişi tarafından yapılması istenilen çeşitli çözüm önerileri sunulduğunun anlaşıldığı, 
• İlgili kişinin kişisel veri niteliğini haiz kurumsal elektronik posta adresine veri sorumlusu tarafından elektronik postalar gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasında (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirildiği,
• Bunun yanı sıra, öğrencilere kurumsal elektronik posta adresinden üniversite hakkında duyuru yapılacağına ilişkin bilgilendirmeye aydınlatma metninde yer verilmesi gerektiği, 

değerlendirmelerinden hareketle; 

• İlgili kişinin kişisel verisi niteliğinde olan şahsına ait kurumsal elektronik posta adresine veri sorumlusu tarafından elektronik postalar gönderilmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin ikinci fıkrasının (f) bendinde yer alan “İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” kapsamında gerçekleştirildiği dikkate alındığında Kanun kapsamında yapılacak işlem bulunmadığına, 
• Öğrencilere kurumsal elektronik posta adresinden üniversiteye ilişkin duyuru yapılacağına ilişkin bilgilendirmeye yer verilmek suretiyle aydınlatma metninin güncellenmesi ve sonucundan Kurula bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına 

karar verilmiştir.