Kişisel Verileri Koruma Kurumu (KVKK), bir üniversitede öğretim üyelerinin özlük bilgilerinin izinsiz ve gerekçesiz olarak tüm personele e-posta yoluyla gönderilmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’na (KVKK) aykırı olduğuna hükmetti.
Üniversite yönetimi ne yaptı?
Bir üniversitede çalışan bir öğretim üyesi, üniversite yönetiminin kendisi ve meslektaşlarının sicil numaraları, çalıştıkları birimler ve izin durumları gibi kişisel verilerini toplu bir e-posta ile tüm personele gönderdiğini fark etti. Bu durumun, kişisel verilerin korunması hakkını ihlal ettiğini düşünen öğretim üyesi, KVKK’ye şikayette bulundu.
KVKK nasıl karar verdi?
KVKK, şikayeti inceledi ve üniversite yönetiminin veri sorumlusu sıfatıyla kişisel verileri işleme faaliyetinde bulunduğunu tespit etti. KVKK, üniversite yönetiminin kişisel verileri işlerken kanunda belirtilen işleme şartlarına uygun davranmadığını, ilgili kişilerin açık rızasını almadığını, işlemenin meşru bir amacının olmadığını, verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olmadığını ve verilerin ilgili mevzuatta öngörülen süreden daha uzun süre muhafaza edildiğini belirledi.
KVKK, bu nedenlerle üniversite yönetiminin kişisel verileri hukuka aykırı bir şekilde işlediğine karar verdi. KVKK, üniversite yönetimine, ilgili personel hakkında disiplin hükümlerine göre işlem yapılmasını ve işlemin sonucunun KVKK’ye bildirilmesini talep etti.