Kişisel Verilerin Yanlış Birime Gönderilmesi: 2020/336 Sayılı Kurul Kararı (05/05/2020)
Bu içerik; Bilgi Edinme Hakkı Kanunu (4982) kapsamında yapılan bir başvuruya verilen yanıtın doğrudan ilgili kişiye iletilmesi gerekirken, ilgili kişinin çalıştığı birime/kuruma genel personele açık biçimde gönderilmesi iddiası üzerinden, KVKK (6698) kapsamında yapılan değerlendirmeyi özetler.
Kişisel Verileri Koruma Kurulu kararı
İnceleme ve değerlendirme tarihi
Yanıtın yanlış kanala/yanlış alıcıya gitmesi
Hukuki dayanak ve veri güvenliği tedbirleri
Kurul; başvurulara usule uygun ve etkin cevap verilmesi, yanıtın yalnızca ilgili kişiye iletilmesi, ve yanlış yönlendirmeyi önleyecek teknik-idari tedbirlerin kurulması gerektiğini vurgular.
1. Şikâyetin Özeti
İlgili kişi; daha önce personeli olduğu veri sorumlusu Üniversitenin bir birimine (Sanat Tarihi Bölümü) ilettiği dilekçenin akıbetini öğrenmek amacıyla, 4982 sayılı Bilgi Edinme Hakkı Kanunu kapsamında veri sorumlusuna başvuruda bulunduğunu belirtmiştir.
Şikâyete konu kritik nokta; bu başvuruya ilişkin yanıtın doğrudan ve sadece ilgili kişiye verilmesi gerekirken, ilgili kişinin halihazırda görev yaptığı aynı Üniversitenin başka bir birimine (Meslek Yüksekokulu Müdürlüğü) tüm taraflara açık biçimde, personele iletilen “alelade resmi yazı” şeklinde gönderildiği iddiasıdır.
İlgili kişi; üçüncü kişilerin erişimine açıldığı ileri sürülen kişisel bilgilerinin KVKK kapsamında korunması için veri sorumlusundan gerekli tedbirleri almasını talep ettiğini; ancak yasal süre içinde gerekli tedbirlerin alınmadığını ve kendisine cevap verilmediğini ifade ederek Kurul nezdinde işlem yapılmasını istemiştir.
2. Veri Sorumlusunun Savunması
Veri sorumlusu; yazı içeriğinde yer alan ad, soyad, unvan ve sicil numarası gibi bilgilerin, ilgili kişinin zaten Üniversiteye bağlı bir birimde görev yapması nedeniyle çalıştığı birimde bulunması “zorunlu” bilgiler olduğunu, bu nedenle “üçüncü kişilerin erişimine açılma” iddiasının gerçek durumla bağdaşmadığını düşündüklerini belirtmiştir.
Ayrıca veri sorumlusu; ilgili kişinin gönderdiği dilekçenin geldiği sistem üzerinden bağlantı kurularak, herhangi bir kasıt olmaksızın “cevapla” butonuyla yanıt verildiği için, yanıtın doğrudan ilgili kişinin çalıştığı birime gitmesine neden olunduğunu ifade etmiştir.
Bu çerçevede; kişilik haklarını zedeleyici/yıpratıcı bir tutum sergilenmediğini ileri sürmüştür.
3. Kurulun Değerlendirmesi (Hukuki Çerçeve)
Kurul; öncelikle Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ hükümlerini hatırlatır: Tebliğ’in 5’inci maddesi, ilgili kişinin taleplerini belirli yöntemlerle veri sorumlusuna iletebileceğini; Tebliğ’in 6’ncı maddesi ise veri sorumlusunun bu başvuruları etkin, hukuka ve dürüstlük kuralına uygun şekilde sonuçlandırmak için gerekli idari ve teknik tedbirleri almakla yükümlü olduğunu vurgular.
Ayrıca Kurul; KVKK m.5 kapsamında kişisel verilerin işlenebilmesi için bir hukuki dayanak bulunması gerektiğini; KVKK m.12/1 kapsamında ise veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini önlemek, hukuka aykırı erişimi önlemek ve muhafazayı sağlamak için uygun güvenlik düzeyini temin edecek teknik ve idari tedbirleri almak zorunda olduğunu belirtir.
| Başlık | Hüküm / Dayanak | Bu olaya yansıması |
|---|---|---|
| Başvuruya cevap yükümlülüğü | Başvuru Tebliği m.6 | Başvuruların etkin sonuçlandırılması ve cevabın ilgili kişiye iletilmesi için tedbir alma |
| İşleme şartı / hukuki dayanak | KVKK m.5 | Yanıtın yanlış birime gönderilmesi suretiyle “açıklama/aktarma” için dayanak var mı? |
| Veri güvenliği tedbirleri | KVKK m.12/1 | Yanlış yönlendirmeyi önleyecek teknik-idari kontrol mekanizmalarının kurulması |
| Kamu kurumlarında yaptırım yolu | KVKK m.18/3 | Disiplin hükümlerine göre işlem yapılması ve sonucun Kurula bildirilmesi |
4. Kurulun Tespitleri ve Gerekçesi
Kurul; somut olayda ilgili kişinin Bilgi Edinme başvurusuna verilen yanıtın, ilgili kişinin çalıştığı birime gönderilmesi suretiyle kişisel verilerinin açıklanması bakımından, KVKK m.5 kapsamında herhangi bir hukuki dayanak bulunmadığı değerlendirmesine yer verir.
Bunun sonucu olarak; veri sorumlusunun KVKK m.12/1 kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla “uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri” almadığı kanaatine varıldığı belirtilir.
Ayrıca Kurul; veri sorumlusunun KVKK m.13 kapsamında kendisine yapılan başvuruya cevap vermemesinin, Tebliğ m.6’da düzenlenen “başvuruları etkin sonuçlandırma” yükümlülüğüne aykırı olduğu değerlendirmesini de vurgular.
Yanıtın ilgili kişiye özel kalması gerekirken farklı birime/personel erişimine açılması.
Bu “açıklama/aktarma” için uygun bir işleme şartı gösterilememesi.
Yanlış yönlendirmeyi engelleyecek teknik-idari güvenlik kontrollerinin yetersizliği.
Başvuruların Tebliğ’e uygun şekilde cevaplanmasında azami özen eksikliği.
5. Karar Sonucu ve Talimatlar
Kurul; veri sorumlusunun başvurulara Tebliğ’e uygun şekilde cevap vermesi konusunda azami dikkat ve özen göstermesi gerektiği yönünde veri sorumlusunu talimatlandırmıştır.
Bunun yanında; yetkisi olmayan kişiler tarafından ilgili kişinin verilerine erişildiği dikkate alındığında, veri sorumlusunun KVKK m.12/1 kapsamındaki veri güvenliği yükümlülüklerini yerine getirmediği kanaatine ulaşıldığından, kamu kurumu niteliği de gözetilerek KVKK m.18/3 çerçevesinde sorumlular hakkında işlem yapılmasına ve işlem sonucu hakkında Kurula bilgi verilmesine karar verildiği ifade edilmiştir.
6. Kurumsal Dersler ve Önleyici Tedbirler
Bu karar, “niyet/kasıt yoktu” savunmasının tek başına yeterli olmayabileceğini ve proaktif özen yükümlülüğünün önemini gösterir. Benzer hataların önlenmesi için kurumlarda aşağıdaki teknik ve idari önlemler özellikle değerlidir:
A) Teknik Tedbirler
- Alıcı doğrulama (recipient validation): Yanıt gönderiminde kullanıcı/TC/kurum maili eşleştirmesi, çift kontrol.
- Yetki tabanlı erişim (RBAC): Başvuru yanıtlarının personel havuzuna düşmesini engelleyecek erişim kısıtları.
- Kanala göre güvenlik: KEP/e-imza/kurumsal e-posta gibi kanallarda “yalnız alıcı” mantığı ve sınırlı dağıtım listeleri.
- Log ve izleme: Başvuru-yanıt sürecinde kimin, ne zaman, hangi kanalla eriştiğini kayıt altına alma.
- DLP / otomatik uyarı: Sicil no, kimlik bilgisi gibi alanlar farklı birime giderken otomatik uyarı/engelleme.
B) İdari Tedbirler
- Süreç tasarımı: “Başvuru yanıtı” iş akışını tekil alıcıya yönlendiren standart operasyon prosedürü (SOP).
- Personel farkındalığı: “Cevapla” butonu, yönlendirme, dağıtım listesi gibi pratik hatalara yönelik eğitim.
- Kontrol listeleri: Gönderim öncesi zorunlu kontrol adımları (alıcı kim, kanal doğru mu, ekler var mı?).
- Olay yönetimi: Yanlış alıcıya gönderim olduğunda geri çağırma/iptal, bilgilendirme ve düzeltici faaliyet planı.
7. Sık Sorulan Sorular
“Bu bilgiler kurum içinde zaten var” demek ihlali ortadan kaldırır mı?
Hayır. Kurul’un yaklaşımı, bilginin “kurumda bulunması” ile “yetkisiz kişilerin erişimine açılması”nı aynı görmez. Erişim yetkisi ve iletim kanalı doğru kurgulanmadığında, gereksiz ifşa oluşabilir.
Yanlış birime gönderim, KVKK’da hangi başlığa girer?
Kurul, kişisel veri işlemenin tanımı içinde “açıklama/aktarma/elde edilebilir hale getirme” gibi işlemleri de sayar. Bu nedenle yanlış alıcıya gönderim çoğu durumda “açıklama” olarak değerlendirilir.
Başvuruya cevap verilmemesi neden ayrıca önemli?
Başvuru Tebliği m.6’ya göre veri sorumlusu, başvuruları etkin şekilde sonuçlandırmak ve cevabı ilgili kişiye bildirmek için idari-teknik tedbirleri almakla yükümlüdür. Cevapsız bırakma, sürecin usul boyutunda da ihlal riskini artırır.
Kamu kurumlarında sonuç ne olabilir?
Kararda vurgulandığı üzere, kamu kurumlarında KVKK m.18/3 çerçevesinde disiplin hükümlerine göre işlem yapılması ve sonucun Kurula bildirilmesi gündeme gelebilir.
