Üniversitede Toplu E-Posta Skandalı: PCR ve Aşı Bilgilerinin Sızdırılması (Karar: 2023/928)

Kişisel Verileri Koruma Kurulu (Kurul), 01/06/2023 tarihli ve 2023/928 sayılı kararı ile bir devlet üniversitesinde yaşanan ve “sehven” yapıldığı iddia edilen ancak ciddi hak ihlallerine yol açan bir veri sızıntısını karara bağlamıştır. Bu karar, kamu kurumlarında toplu e-posta gönderimlerinde yapılan hataların hukuki sonuçlarını net bir şekilde ortaya koymaktadır.

İhlalin Konusu: Sağlık Verileri E-Posta Ekinde

Üniversite rektörü tarafından personele gönderilen “PCR testi yaptırılması” konulu duyuru e-postasının ekine, tüm çalışanların mahrem bilgilerinin yer aldığı bir Excel dosyası eklenmiştir. Bu dosyada;

• Kişisel Veriler: TCKN (kısmi), şahsi telefon numaraları, şahsi e-posta adresleri, açık adresler.
• Özel Nitelikli Veriler: HES kodları, aşı durumları, PCR test sonuçları ve risk durumları gibi sağlık verileri.

Üniversitenin Savunması: “Sehven Gönderdik ve Sildirdik”

Üniversite yönetimi savunmasında; Excel dosyasının yanlışlıkla eklendiğini, alıcıların sadece üniversite personeli ve amirleri olduğunu (üçüncü kişi sayılmayacaklarını) ve hatanın fark edilmesi üzerine ilgili kişilere ulaşılıp e-postanın sildirilerek tutanak altına alındığını belirtmiştir.

Kurulun Hukuki Değerlendirmesi ve “Sehven” İddiasının Reddi

Kurul, üniversitenin savunmasını kabul etmeyerek şu kritik tespitlerde bulunmuştur:

1. Özel Nitelikli Verilerin Hassasiyeti: Sağlık verileri (aşı, risk durumu vb.), Kanun’un 6. maddesi uyarınca sadece açık rıza ile veya belirli istisnai şartlar altında işlenebilir. Bu verilerin tüm personele açık şekilde paylaşılması hukuka aykırıdır.
2. Üçüncü Kişi Tanımı: Çalışanların kişisel verilerinin diğer çalışma arkadaşları veya amirleri ile yetkisiz şekilde paylaşılması, Kanun kapsamında üçüncü kişilere aktarım niteliğindedir.
3. Tekrarlanan Hata “Sehven” Olamaz: Kurul, aynı üniversitenin daha önce de benzer bir toplu e-posta gönderimiyle veri sızdırdığını tespit etmiş; bu nedenle olayın “sehven” yapıldığı iddiasını hayatın olağan akışına aykırı bulmuştur.
4. Sonradan Sildirme İhlali Ortadan Kaldırmaz: E-postanın alıcılardan sildirilmiş olması, o verilerin yetkisiz kişilerin eline geçtiği gerçeğini ve veri güvenliği zafiyetini ortadan kaldırmaz.

Karar Sonucu: Disiplin Süreci Başlatıldı

Üniversite bir kamu tüzel kişiliği olduğu için doğrudan idari para cezası uygulanmamış; ancak Kanun’un 18/3 maddesi uyarınca, ihlalde sorumluluğu bulunan rektörlük personeli ve ilgili sorumlular hakkında disiplin hükümlerine göre işlem yapılmasına ve sonucun Kurul’a bildirilmesine karar verilmiştir. Ayrıca Kurul’a veri ihlal bildirimi yapılmaması da ayrı bir kusur olarak not edilmiştir.

Özgür Eralp Perspektifi: “CC ve BCC Arasındaki Fark Bir Disiplin Cezasıdır”

Bilişim hukuku alanındaki 25 yıllık tecrübemizde, kamu kurumlarının “bilgilendirme” amacıyla yaptıkları toplu e-postaların en büyük sızıntı kaynağı olduğunu gördük. Bir liste dolusu insanın e-posta adresini birbirine göstermek bile bir ihlal iken, sağlık verilerinin olduğu bir Excel’i eklemek tam bir “veri güvenliği intiharıdır”.

Bir yatırımcı avukat vizyonuyla uyarım şudur: Kamu personeli olmak, veri güvenliği yükümlülüklerinden muaf olmak anlamına gelmez. “Yanlışlıkla oldu” savunması, KVKK’nın teknik ve idari tedbir (Md. 12) yükümlülüğünü karşılamaz. Özellikle toplu gönderimlerde kişilerin birbirini görmediği (BCC) yöntemler veya özel toplu mesajlaşma sistemleri kullanılmalıdır. Bu kararla Kurul, kamu yöneticilerine şu mesajı vermektedir: Veriyi koruyamazsanız, idari soruşturma kapınızdadır.

---

Sıkça Sorulan Sorular

1. Amirimin benim sağlık verilerimi görmesi yasal mı?

İş sağlığı ve güvenliği kapsamında sadece “gerektiği kadar” veri (örneğin işe uygunluk durumu) işveren veya amir tarafından bilinebilir. Ancak tüm detayların (PCR detayları, HES kodları vb.) bir liste halinde herkese yayılması hukuka aykırıdır.

2. “Sehven” gönderilen bir e-postayı sildirmek veri sorumlusunu kurtarır mı?

Hayır. Silme işlemi sadece zararı azaltmaya yönelik bir “idari tedbir”dir; ancak verinin sızmış olması sebebiyle oluşan ihlali ve sorumluluğu ortadan kaldırmaz.

3. Kamu kurumlarına neden para cezası verilmiyor?

KVKK Madde 18/3 gereği, kamu kurum ve kuruluşlarında çalışanlar hakkında disiplin hükümleri uygulanır. Para cezası yerine ilgili memur veya yöneticinin siciline işleyecek disiplin cezaları öngörülmüştür.

4. Bu tür bir ihlale uğrarsam ne yapmalıyım?

Öncelikle veri sorumlusu kuruma (Üniversiteye) başvurarak verilerinizin kimlere aktarıldığını ve ne tür tedbirler alındığını sormalısınız. Tatmin edici cevap alamazsanız Kurul’a şikayette bulunabilirsiniz.

5. HES kodu ve aşı bilgisi “Özel Nitelikli Veri” midir?

Evet. Kişinin sağlığına ilişkin her türlü bilgi (PCR sonucu, aşı kartı, hastalık geçmişi vb.) özel nitelikli kişisel veridir ve en yüksek düzeyde korunması gerekir.

---

Kaynaklar

• KVKK Kurumu – 2023/928 Sayılı Karar Özeti
• 6698 Sayılı KVKK (Madde 5, 6, 12, 18)
• Kamu Görevlileri Etik Rehberi ve Disiplin Yönetmelikleri
• Ankara Barosu Bilişim Kurulu – Kamu Kurumlarında KVKK Uyum Rehberi