Yoklama Listesinde TCKN Görünmesi (2021/1214) – KVKK Kurul Karar Özeti

KVKK · Eğitim · Yoklama Listesi · Kurul Kararı (2021/1214)

2021/1214 Kararı Yoklama Listesinde T.C. Kimlik Numarasının Görünür Olması ve Aydınlatma Eksikliği

Kişisel Verileri Koruma Kurulu’nun 02/12/2021 tarihli ve 2021/1214 sayılı karar özeti; bir üniversite tarafından verilen eğitimde, kursiyerlerin ad-soyad ve T.C. kimlik numaralarının yer aldığı yoklama/teslim listelerinin sınıf ortamında elden ele dolaştırılarak imzalatılması nedeniyle, kişisel verilerin diğer katılımcılar tarafından görülebilir hale gelmesini ve ayrıca aydınlatma yükümlülüğünün gereği gibi yerine getirilmemesini konu alır.

Hukuki Dayanak Olayın Özeti Kurul Değerlendirmesi

İçindekiler 1. Hukuki Çerçeve: KVKK m.4, m.10, m.12, m.13 2. Olayın Özeti: Şikâyet, Taraflar ve Süreç 3. Kurul Değerlendirmesi: Veri Sorumluları ve İlkeler 4. Maskeleme & Güvenli Yoklama Uygulaması 5. Uyum Kontrol Listesi ve Örnek Metinler 6. Sık Sorulan Sorular

Hızlı Özet

İddia: Yoklama listelerinde TCKN görünür, liste elden ele dolaştırılıyor.
Kurul: Bakanlık ve Üniversite ayrı ayrı veri sorumlusu.
Kritik ilkeler: Veri minimizasyonu (sınırlı-ölçülü), maskeleme, aydınlatma.
Sonuç: Bakanlığa 30 gün hatırlatması; Üniversiteye TCKN maskeleme ve çizelgeyi revize talimatı; diğer kuruluşların bilgilendirilmesi; Üniversiteye KVKK m.10 uyumlu aydınlatma uygulaması geliştirme talimatı.

KVKK m.4 KVKK m.10 KVKK m.13 Maskeleme Eğitim Yoklaması

Bu kararın ana mesajı: Devam zorunluluğu gibi meşru bir amaç olsa bile, “her veriyi açıkça yazmak” zorunlu değildir. Karışıklığı önlemek için TCKN gibi güçlü bir belirleyici gerekiyorsa maskeli kullanılmalı ve liste elden ele dolaştırma gibi gereksiz ifşa riskleri doğurmayacak şekilde tasarlanmalıdır.

1. Hukuki Çerçeve: KVKK m.4, m.10, m.12, m.13

1.1. KVKK m.4 – Genel İlkeler (Sınırlı & Ölçülü)

Kurul, olayda özellikle “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma” ilkesini öne çıkarır. Devam takibi amacıyla liste tutulabilir; ancak bu amaç için zorunlu olmayan kişisel verilerin açıkça görünür şekilde dolaştırılması ölçülülük ile bağdaşmayabilir.

1.2. KVKK m.10 – Aydınlatma Yükümlülüğü

Eğitim öncesi imzalanan sözleşmede; aydınlatmanın asgari unsurlarının (amaç, aktarımlar, yöntem-hukuki sebep, ilgili kişi hakları) yeterince yer almadığı değerlendirilerek, aydınlatma yükümlülüğünün gereği gibi yerine getirilmediği sonucuna varılmıştır.

1.3. KVKK m.12 – Veri Güvenliği Tedbirleri

Listeyi elden ele dolaştırma biçimi; verinin üçüncü kişiler tarafından görülmesini “kolaylaştıran” bir pratik olduğundan, veri güvenliği yaklaşımı bakımından risk doğuran işleme yöntemi olarak değerlendirilir.

1.4. KVKK m.13 – Veri Sorumlusuna Başvuru (30 Gün)

Kurul, Bakanlığın ilgili kişinin başvurusuna 30 günlük süre aşıldıktan sonra yanıt verdiğini tespit etmiş ve başvurulara cevap verirken sürenin gözetilmesi yönünde hatırlatma yapmıştır.

Kritik ders: “Devam çizelgesi zorunluydu” savunması tek başına yeterli değildir. Zorunlu süreçler dahi veri minimizasyonu, maskeleme, güvenli işleme yöntemi ve aydınlatma ile birlikte tasarlanmalıdır.

2. Olayın Özeti: Şikâyet, Taraflar ve Süreç

Şikâyete göre; Bakanlık tarafından eğitim verilmesi için görevlendirilen Üniversite Eğitim Merkezindeki programda, kursiyerlerin ad-soyad ve T.C. kimlik numaralarının yer aldığı yoklama listeleri elden ele dolaştırılarak imzalatılmış, ayrıca Bakanlık ve Üniversite tarafından ilgili kişiye aydınlatma yapılmadığı iddia edilmiştir.

Başlık	Detay
Karar	02/12/2021 – 2021/1214
İhlal iddiası	Yoklama/teslim listelerinde TCKN’nin görünür olması ve listelerin elden ele dolaştırılması
Taraflar	Bakanlık (izin/denetim/koordinasyon) + Üniversite (eğitimin fiili yürütülmesi)
Ek iddia	Aydınlatma yükümlülüğünün yerine getirilmemesi
Kurul yaklaşımı	Tarafların veri işleme alanları ayrı → her biri kendi alanında veri sorumlusu

Kurulun odak noktası: Aynı ad-soyadlı kişileri ayırt etmek için TCKN kullanılacaksa bile, bunun açık şekilde paylaşılması yerine maskelenmiş biçimde ve elden ele dolaştırmadan (ör. kursiyerin eğitmenin yanına gelerek imzalaması) yöntemleriyle uygulanması.

3. Kurul Değerlendirmesi: Veri Sorumluluğu, İşleme Şartı ve İlkeler

3.1. Bakanlık ve Üniversite: Ayrı Ayrı Veri Sorumlusu

Kurul, eğitim sürecinde Bakanlığın izin/takip/denetim rolü; üniversitenin ise eğitimin düzeni ve icrası nedeniyle kişisel veri işleme faaliyet alanlarında ayrı ayrı veri sorumlusu olarak değerlendirilmesi gerektiğini belirtir.

3.2. İşleme Şartı: Açık Rıza Dışındaki Zemin

Kurul; Bakanlık açısından ilgili mevzuattaki görevlendirme nedeniyle “kanunlarda açıkça öngörülmesi” ve “hukuki yükümlülük” (KVKK m.5/2-a, m.5/2-ç) zeminini; üniversite açısından ise devam takibi ve hakların korunması için “hukuki yükümlülük” ve “bir hakkın tesisi/kullanılması/korunması” (m.5/2-ç, m.5/2-e) zeminini değerlendirir.

3.3. Asıl Sorun: Ölçülülük + Güvenli Yöntem + Aydınlatma

Ölçülülük: Karışıklığı önlemek için ek belirleyici gerekiyorsa bile TCKN gibi veri maskelenerek kullanılmalı.
Güvenli yöntem: Listeyi elden ele dolaştırmak yerine, örneğin katılımcının eğitmenin yanına gelip imza atması gibi, üçüncü kişilerin görmesini azaltan yöntemler seçilmeli.
Aydınlatma: Sözleşme imzalamak tek başına yeterli değil; KVKK m.10’un asgari unsurları açıkça sağlanmalı ve bunun ispatı veri sorumlusunda olmalı.

Kısacası: Kurul, “devam takibi gerekli” kabul etmekle birlikte, uygulamanın daha güvenli ve daha ölçülü hale getirilmesini ve aydınlatmanın KVKK’ya uygun kurulmasını istemiştir.

4. Maskeleme & Güvenli Yoklama Uygulaması

Kurul, aynı ad-soyadlı kişilerin ayrımı için TCKN gibi veri kullanılacaksa bunun maskelenmesi gerektiğini belirtir. Aşağıdaki pratikler; “devam takibi” amacını sürdürürken ifşa riskini azaltır:

4.1. Maskeleme Örnekleri

TCKN (maskeli): 12*********34 (sadece ilk 2 + son 2 görünür)
Alternatif kimlik: Eğitim kayıt numarası / aday numarası (tekil, rastgele)
Görünür alan azaltma: Listede yalnızca “Ad-Soyad + Kayıt No”

4.2. Elden Ele Dolaştırmadan İmza

Katılımcıların sırayla eğitmenin masasına gelerek imza atması
İmza ekranı/tablet ile bireysel doğrulama (ekran paylaşımı olmadan)
QR kod ile yoklama (kimlik doğrulama + minimal veri gösterimi)

Hedef: “Karışıklığı önlemek” ile “veriyi herkesin görebileceği şekilde dolaştırmamak” aynı anda mümkündür. Kurulun beklediği yaklaşım, bu dengeyi tasarım aşamasında kurmaktır.

5. Uyum Kontrol Listesi ve Örnek Metinler

5.1. Kurul Talimatları (Karardan Çıkan Net Aksiyonlar)

Bakanlık: KVKK m.13 başvurularında 30 gün süresine riayet hatırlatması.
Üniversite: Devam çizelgesinde TCKN kullanımı gerekiyorsa maskelenmesi ve çizelgenin revizesi.
Bakanlık: Benzer eğitim veren kuruluşların da bilgilendirilmesi.
Üniversite: KVKK m.10 ve Aydınlatma Tebliği’ne uygun aydınlatma uygulaması geliştirme ve Kurul’a bilgi verme.

5.2. Mini “Aydınlatma” İçeriği (Asgari Unsurlar)

Aydınlatma metninde en az şu başlıklar net olmalı:

Veri sorumlusu ve varsa temsilci kimliği
İşleme amaçları (devam takibi, belge düzenleme, denetim süreçleri vb.)
Aktarımlar (ör. Bakanlık gibi) ve aktarım amaçları
Toplama yöntemi (yoklama listesi/elektronik sistem vb.) ve hukuki sebep
İlgili kişi hakları (KVKK m.11) ve başvuru kanalları

İspat yükü: Aydınlatmanın yapıldığını ve içeriğin uygun olduğunu ispatlama sorumluluğu veri sorumlusundadır. “Sözleşme imzalattık” demek; asgari unsurlar yoksa yeterli görülmeyebilir.

6. Sık Sorulan Sorular

Devam takibi için TCKN almak zorunluysa ne yapmalıyız?

Kurulun yaklaşımı: TCKN gerçekten “karışıklığı önlemek” için zorunlu hale geliyorsa maskelenerek kullanılmalı ve liste elden ele dolaştırılmamalı.

Sözleşme imzalatmak aydınlatma yerine geçer mi?

Tek başına geçmeyebilir. Kurul, sözleşmede KVKK m.10’daki asgari unsurların bulunmamasını, aydınlatmanın gereği gibi yapılmadığı şeklinde değerlendirmiştir.

“Bakanlık hazırladı, biz sadece imzalattık” demek sorumluluğu kaldırır mı?

Kurul, bu olayda Bakanlık ve Üniversiteyi ayrı veri sorumlusu olarak ele almıştır. Her kurum kendi işlemeleri bakımından sorumluluk taşır ve güvenli yöntemi seçmekle yükümlüdür.

En pratik güvenli yoklama yöntemi nedir?

En hızlı kazanım: TCKN’yi listeden çıkarmak (mümkünse), değilse maskeli hale getirmek ve imzayı eğitmenin kontrolünde, sırayla almak (listeyi dolaştırmamak).

KVKK 2021/1214 Yoklama Listesi TCKN Maskeleme Aydınlatma Yükümlülüğü KVKK m.13 30 Gün

Kaynak: KVKK – 2021/1214 karar özeti: https://www.kvkk.gov.tr/Icerik/7270/2021-1214