İLGİLİ KİŞİNİN AÇIK RIZASI OLMAKSIZIN YKS SONUÇ BELGESİNİN PAYLAŞILMASI KVKK İHLALİ TEŞKİL EDER

 

Kişisel Verileri Koruma Kurulu

Karar Tarihi: 06/01/2022

Karar No: 2022/13

Konu Özeti: İlgili kişinin açık rızası olmaksızın sınav sonuç belgesinin yerel bir haber sitesi tarafından paylaşılması

 

Kuruma intikal eden şikâyette; ilgili kişinin kişisel verisi niteliğindeki bilgilerinin yer aldığı Yükseköğretim Kurumları Sınavı (YKS) sınav sonuç belgesinin yerel haber sitesi tarafından açık rızası olmaksızın paylaşıldığı, kişisel verilerinin bu şekilde hukuka aykırı olarak işlenmesi sebebiyle 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) gereği veri sorumlusuna başvurarak bilgi talebinde bulunduğu, söz konusu başvurunun tebliğ edilmesine karşın başvurunun yanıtsız bırakıldığı ifade edilerek konuya ilişkin Kanun kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde söz konusu iddialara ilişkin veri sorumlusundan savunması istenilmiş olup veri sorumlusu tarafından Kuruma herhangi bir cevap verilmemiştir.

Bu itibarla yapılan incelemede, Kişisel Verileri Koruma Kurulunun 06/01/2022 tarihli ve 2022/13 sayılı Kararı ile;

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise sayılan şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hüküm altına alındığı,
  • Şikâyetin incelemeye alındığı tarihte veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanından oluşan kişisel verilerinin işlendiğinin görüldüğü, şikayete konu iddialara ilişkin olarak veri sorumlusunun savunması ve savunmasına temel teşkil edecek bilgi ve belgelerin talep edildiği, veri sorumlusunu muhatap yazının tebliğ edilmiş olmasına rağmen Kanunun 15 inci maddesinin (3) numaralı fıkrasında öngörülen on beş günlük süre içerisinde Kuruma bir cevap verilmediği, dolayısıyla veri sorumlusunun ilgili kişinin kişisel verilerinin işlendiği iddiası hakkında savunma hakkını kullanmadığı ve bu nedenle ilgili kişinin sunmuş olduğu iddiasını tevsik edici belgeler ile şikâyetin sonuçlandırılmasının gerektiği,
  • Kanunun “Tanımlar” başlıklı 3 üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlandığı, kişinin adı, soyadı ve fotoğrafının kişisel veri niteliğini haiz olduğu konusunda tereddüt olmamakla birlikte kişinin yerleştiği yükseköğretim programı ve yerleştirme puanını içerir sınav sonucu bilgilerinin kişisel veri niteliğine haiz olup olmadığı hususunun ayrıca değerlendirilmesi gerektiği, sınav sonucu bilgilerinin, ilgili kişinin belirli bir alandaki bilgi ve yeterliliğinin kapsamını ve bazı durumlarda zekasını, düşünce süreçlerini ve yargısını yansıttığı değerlendirildiğinden kişisel veri niteliğini haiz olduğu, ilgili kişinin yerleştiği yükseköğretim programının kişisel veri niteliğinde olan kişinin meslek bilgisine ilişkin kesin bir bilgi sağlamamakla birlikte kişinin ilgi alanlarına ilişkin bilgi vermesi nedeniyle kişisel veri niteliğini haiz olduğu,
  • Öte yandan, Kanunun 28 inci maddesinin (1) numaralı fıkrasının (c) bendine göre; kişisel verilerin milli savunmayı, milli güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlarla ya da ifade özgürlüğü kapsamında işlenmesi hâlinde Kanun hükümlerinin uygulanmayacağının hüküm altına alınmış olduğu, Anayasanın 28 inci maddesinde düzenlenen basın özgürlüğünün Anayasanın 26 ncı maddesinde düzenlenen düşünceyi açıklama ve yayma özgürlüğünün bir yansıması olarak kabul edildiği, demokratik toplumlarda basının en önemli görevinin, kamu yararını ilgilendiren olay ve konularda haber ve bilgi vermek, açıklamalar yapmak, eleştiri ve değer yargıları sunmak suretiyle toplumu aydınlatmak ve kamuoyu oluşturmak olduğu ve yaptığı bu görev nedeniyle basına “haber verme hakkı ve görevi” tanınmış olduğu,
  • Şikâyete konu olayda haberi yayınlayan veri sorumlusu açısından basın özgürlüğü söz konusu iken ilgili kişi açısından da kişisel verilerin korunmasını isteme hakkının söz konusu olduğu,  dolayısıyla basın özgürlüğü ile kişisel verilerin korunmasını isteme hakkının karşı karşıya olduğu, haberden beklenen yarar ile ilgili kişinin kişisel verilerinin korunmasını isteme hakkından beklediği meşru çıkarın karşılaştırılması gerektiği ve bunun için temel ölçütün ise kamu yararı olduğu, gerek yazılı ve gerek görsel basın tarafından bu işlev yerine getirilirken, yayının kamu ilgi ve yararının bulunması ile gerçek ve güncel olmasının sağlanmasının ve haberi verirken özle biçim arasındaki dengenin korunmasının gerektiği,
  • Haber başlığında ilgili kişinin yalnızca üniversiteyi kazanan gençlerin sevincinden bahisle T.C. kimlik numarası maskelenerek ilgili kişinin adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanını içeren sınav sonuç belgesine yer verilmiş olduğu, haberde başkaca bir bilgiye veya belgeye yer verilmediği, bu bilgilerin kullanılarak yapılan haber kapsamındaki kişisel verilerin kişilik haklarını ihlal etmemek kaydıyla ifade özgürlüğü kapsamında işlenip işlenmediğinin değerlendirilmesi gerektiği, 
  • Bu kapsamda, biçim ve öz arasındaki denge açısından haberlerde kullanılan dil ve ifadenin gerektirdiği ölçüde olduğu ve haberlerin verilişinde gerekli, ilgili ve yararlı olmayan beyan ve değerlendirmelerde bulunulmadığı sonucuna varılması sebebiyle habere konu kişisel veriler açısından öz ile biçim arasındaki denge kriterine muhalefet edilmediği anlaşılmakla beraber, söz konusu haberin ilgili kişinin yüksek bir başarısı olduğundan bahisle yapılmadığı, yalnızca üniversiteyi kazanan gençlerden birinin örneğinin verildiğinin görüldüğü, bu sebeple haberin toplumda sık rastlanan bir olay olduğu ve haberdeki olayın toplumu konu üzerinde düşünmeye sevk etmediği ve dolayısıyla bir kamu yararı bulunmadığı kanaatine varılmış olup söz konusu haberde gerçekleştirilen kişisel veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında düzenlenen ifade özgürlüğü kapsamında değerlendirilemeyeceği ve söz konusu kişisel veri işleme faaliyetinin istisna kapsamında olmadığının görüldüğü,
  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinin ikinci fıkrasının (d) bendinde “ilgili kişinin kendisi tarafından alenileştirilmiş olması”nın bir kişisel veri işleme şartı olarak düzenlendiği, Yükseköğretim Kurumları Sınavı Ölçme, Seçme ve Yerleştirme Merkezi tarafından yapılan bir sınav olup sınav sonucunun ancak kişinin oluşturduğu bir şifre ve T.C. kimlik numarası ile sorgulanabildiği, bu bilgiden hareketle ilgili kişinin adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanının ilk olarak ilgili kişi tarafından yayımlanması suretiyle alenileştirilmiş olabileceği ihtimalinin gündeme geldiği, ancak veri sorumlusunun şikâyete ilişkin bilgi ve belge talebine cevap vermeyerek savunma hakkını kullanmamış olması nedeniyle ilgili kişinin kişisel verilerinin nereden ve nasıl elde edildiği ve kişisel verilerinin hangi veri işleme şartına dayanılarak işlendiği bilgisine ulaşılamadığı, Kanunun kişisel verilerin işleme şartlarının düzenlendiği 5 ve 6 ncı maddelerinde kişisel verilerin işlenmesi bakımından hukuka uygunluk sebeplerinin,  veri sorumlusu tarafından Kanunda yer alan hangi hukuka uygunluk sebebine dayanılarak kişisel veri işlendiğinin belirtilmemiş olması nedeniyle kişisel verilerin hukuka aykırı olarak işlendiği yönündeki karineye dayanarak veri sorumlusunun kişisel veri işleme faaliyetinin hukuka aykırı olduğu kanaatine varıldığı,
  • Kanunun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesine göre veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğu, veri sorumlusunun ilgili kişinin kişisel veri niteliğini haiz adı, soyadı, fotoğrafı, yerleştiği yükseköğretim programı ve yerleştirme puanını hukuka aykırı olarak işlemesi nedeniyle Kanunun 12 nci maddesinde yer alan yükümlülüklerine aykırı hareket ettiği,
  • 5326 sayılı Kabahatler Kanununun “İdari Para Cezaları” başlıklı 17 nci maddesinin ikinci fıkrasına göre idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumunun birlikte göz önünde bulundurulacağının hüküm altına alındığı,
  • Karar tarihi itibariyle veri sorumlusuna ait internet sitesinde ilgili kişinin ad, soyad, fotoğraf, yerleştiği yükseköğretim programı ve yerleştirme puanının paylaşıldığı haberin kaldırılmış olduğunun görüldüğü

değerlendirmelerinden hareketle;

  • Şikayete konu kişisel veri işleme faaliyetinin Kanunun 28 inci maddesinin (1) numaralı fıkrasında düzenlenen ifade özgürlüğü kapsamında değerlendirilemeyeceği, veri sorumlusuna ait internet sitesinde yer alan haberde ilgili kişinin kişisel verilerinin Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendine aykırı olarak işlendiği, karar tarihi itibariyle söz konusu kişisel verilerin veri sorumlusuna ait internet sitesinden kaldırılmış olduğu hafifletici unsuru dikkate alınarak Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca veri sorumlusu hakkında 30.000 TL idari para cezası uygulanmasına karar verilmiştir.