Üniversite Kurumsal E-Posta Duyuruları ve Meşru Menfaat: 2023/938 Sayılı Karar Analizi

Kişisel Verileri Koruma Kurulu (Kurul), 01/06/2023 tarihli ve 2023/938 sayılı kararı ile üniversitelerin öğrencilerine tahsis ettikleri kurumsal e-posta adresleri üzerinden yaptıkları toplu duyuru ve bilgilendirme faaliyetlerinin hukuki sınırlarını belirlemiştir. Bu karar, “kurumsal e-posta adresi kişisel veri midir?” ve “üniversite her istediğini gönderebilir mi?” sorularına emsal teşkil edecek yanıtlar sunmaktadır.

Olayın Özeti: “İstemediğim E-Postaları Almak Zorunda mıyım?”

Bir üniversite öğrencisi, okulun kendisine tahsis ettiği kurumsal e-posta adresine (.edu.tr) ilgi alanı dışındaki duyuruların, etkinliklerin ve idari bilgilendirmelerin günlük olarak gönderilmesinden şikayetçi olmuştur. Öğrenci, listeden çıkmak için defalarca başvurmasına rağmen talebinin reddedildiğini ve e-posta adresinin rızası dışında işlenmeye devam ettiğini belirterek Kurul’a başvurmuştur.

Üniversitenin Savunması: “Bu Bir İç İletişim ve Güvenlik Gereğidir”

Üniversite yönetimi savunmasında özetle şunları belirtmiştir:

• Tahsis Edilen Adres: E-postalar öğrencinin şahsi adresine değil, üniversitenin eğitim süreçleri için tahsis ettiği kurumsal adrese gönderilmektedir.
• Akademik ve İdari Gereklilik: Gönderilen içerikler; akademik duyurular, kampüs gelişmeleri, İş Sağlığı ve Güvenliği ile Bilgi Güvenliği gibi öğrencinin öğretim hakkıyla doğrudan ilgili konuları kapsamaktadır.
• Yönetimsel Risk: Öğrencilerin bu listeden çıkarılmasının, kritik bilgilendirmelerin (sınav, güvenlik vb.) ulaştırılamaması nedeniyle risk oluşturacağı değerlendirilmiştir.

Kurulun Hukuki Değerlendirmesi

Kurul, uyuşmazlığı KVKK’nın temel ilkeleri ve işleme şartları çerçevesinde şu şekilde çözümlemiştir:

1. Kurumsal E-Posta Kişisel Veridir: E-posta adresinin üniversite tarafından tahsis edilmiş olması, o verinin “kişisel veri” olma niteliğini değiştirmez. Çünkü bu adres belirli veya belirlenebilir bir gerçek kişiye (öğrenciye) ilişkindir.
2. Meşru Menfaat Dengesi: Üniversitenin, öğrencilerini akademik ve idari süreçler hakkında bilgilendirmesi, eğitim faaliyetlerinin sağlıklı yürütülmesi açısından bir zorunluluktur. Bu durum, KVKK Madde 5/2-f uyarınca “Veri sorumlusunun meşru menfaatleri” kapsamında değerlendirilmiştir.
3. Aydınlatma Yükümlülüğü: Veri işleme faaliyeti bir işleme şartına (meşru menfaat) dayansa dahi, üniversitenin bu işlemi yapacağını öğrencilerine açıkça bildirmesi (aydınlatma yapması) zorunludur.

Karar Sonucu: “İşlem Hukuka Uygun Ancak Aydınlatma Eksik”

Kurul inceleme neticesinde;

• Üniversitenin öğrencilere duyuru yapmasının “meşru menfaat” kapsamında olduğu, dolayısıyla bu aşamada Kanun kapsamında cezai bir işlem yapılmasına yer olmadığına,
• Ancak üniversitenin, aydınlatma metnini güncelleyerek “kurumsal e-posta adresi üzerinden üniversiteye ilişkin duyuru ve bilgilendirme yapılacağı” hususuna açıkça yer vermesi gerektiğine ve bu konuda üniversitenin talimatlandırılmasına karar vermiştir.

Özgür Eralp Perspektifi: “Kurumsal Adres, Kurumsal İletişim İçindir”

Bilişim hukuku alanındaki 25 yıllık tecrübemizde, kurumsal e-posta adreslerinin kullanımı konusunda ciddi kafa karışıklıkları olduğunu görüyoruz. Kurul bu kararıyla; “Adres benim olsa da verinin öznesi insandır” diyerek kurumsal e-postayı koruma altına almış; ancak “Eğitim kurumu, öğrencisine ulaşabilmelidir” diyerek kurumun işleyiş hakkını korumuştur.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Üniversiteler, “Zaten benim verdiğim adres, istediğimi yollarım” diyemezler. Duyuruların kapsamı eğitim ve kampüs yaşamı ile sınırlı kalmalıdır. Eğer bu adresler üzerinden üçüncü taraf reklamları veya ticari tanıtımlar yapılırsa, “meşru menfaat” dengesi bozulur ve ağır para cezaları gündeme gelir. Öğrenciler için ise tavsiyem; kurumsal e-postalarını resmi bir iletişim kanalı olarak görmeleri ve gereksiz gördükleri içerikler için e-posta istemcilerindeki filtreleme özelliklerini kullanmalarıdır.

---

Sıkça Sorulan Sorular

1. Üniversite kurumsal e-postamı istediği her şey için kullanabilir mi?

Hayır. Sadece akademik faaliyetler, idari duyurular, kampüs güvenliği ve eğitim süreçleri gibi üniversite yaşamıyla doğrudan ilgili konularda “meşru menfaat” kapsamında kullanabilir. Pazarlama amaçlı kullanımlar için açık rızanız gerekir.

2. Listeden çıkma talebim neden reddediliyor?

Üniversiteler, sınav tarihleri veya güvenlik uyarıları gibi hayati bilgileri ulaştıramama sorumluluğunu almamak için bu listelerden çıkmanıza izin vermeyebilir. Kurul bu kararda bu reddi “meşru menfaat” çerçevesinde haklı bulmuştur.

3. Aydınlatma metni güncellenmezse ne olur?

Üniversite, Kurul’un talimatına uymazsa Kanun’un 18. maddesi uyarınca idari yaptırımlarla veya kamu görevlileri hakkında disiplin süreçleriyle karşılaşabilir.

4. Kendi kişisel (Gmail/Hotmail vb.) adresime de bu mailler gelirse ne yapmalıyım?

Eğer üniversiteye o adresi “duyuru almak için” vermediyseniz, kişisel adresinize gelen toplu duyurular için şikayet hakkınız daha güçlüdür. Kurumsal adres ile kişisel adresin ayrımı bu kararın temel noktasıdır.

5. Kurumsal e-posta adresimin şifresini üniversite görebilir mi?

Teknik olarak sistem yöneticileri belirli yetkiler dahilinde erişim sağlayabilir ancak bu durum sadece bilgi güvenliği ve yasal zorunluluklar çerçevesinde yapılabilir. Keyfi bir izleme kişisel verilerin korunması ihlalidir.

---

Kaynaklar

• KVKK Kurumu – 2023/938 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 5, 10, 12)
• Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ