Bu olay neden veri ihlali sayıldı?

Çalışanlar kendi bordrosu yerine başka bir çalışanın bordrosunu (ad-soyad, TCKN, sicil no gibi bilgiler) görüntüleyebildiği için kişisel verilerin gizliliği bozulmuş ve yetkisiz ifşa gerçekleşmiştir.

Kurul neden yalnızca “teknik hata” demedi?

Kurul; kurumsal e-posta hesabı tahsis edilmemesi, kişisel e-posta üzerinden kontrol/geri alma imkânının sınırlı olması, risk değerlendirmesinin yapılmaması ve aydınlatma metninin yetersizliği gibi idari eksiklerin de ihlale zemin hazırladığını değerlendirmiştir.

Kişisel e-posta kullanımının KVKK açısından ek riski nedir?

Kişisel e-posta sağlayıcılarının sunucularının yurt dışında bulunması ihtimali verilerin farklı ülkelerde saklanmasına ve veri sorumlusu açısından kontrol kaybına yol açabilir; ayrıca silme/geri çağırma ve kayıt yönetimi gibi süreçler zorlaşır.

Bu tip bordro gönderimlerinde en kritik önlemler nelerdir?

Kurumsal hesap/kanal kullanımı, doğru alıcı-doğru içerik kontrolleri, test ortamı ve dil/cihaz türü gibi konfigürasyon doğrulamaları, çift kontrol (4 göz) prensibi, ayrıntılı loglama, yanlış gönderim acil müdahale planı ve çalışanlara net bilgilendirme/tercih seçenekleri sunulmasıdır.

KVKK 2021/464 Kararı: Otoyol İşletmesinde Bordro E-Postası Hatası (489 Kişi) – Kişisel E-Posta, Aydınlatma ve 60.000 TL Ceza

KVKK · 2021/464 · Bordro · Yanlış E-Posta / Yanlış İçerik

KVKK 2021/464 Kararı Otoyol İşletmesinde Bordro E-Postası Hatası (489 Kişi) ve 60.000 TL İdari Para Cezası

Kişisel Verileri Koruma Kurulunun 16/06/2020 tarihli veri ihlal bildirimi üzerine değerlendirilen olayda, bir otoyol işletmesinin bordro gönderim sürecinde yanlış bordro görüntülenmesi gerçekleşmiştir. Çalışanlara kişisel e-posta adresleri üzerinden iletilen bordro “zarfları” içinde, bazı çalışanlar kendisine ait olmayan (aynı şirket çalışanına ait) bordroyu görüntüleyebilmiştir.

İhlal, yalnızca “yanlış alıcıya e-posta” gibi basit bir hata değildir: Kurul değerlendirmesinde; kurumsal e-posta hesabı tahsis edilmemesi ve bordro gönderiminin çalışanların şahsi e-posta sağlayıcıları üzerinden yürütülmesi nedeniyle, veriler üzerinde kontrolün zorlaştığı, risklerin yeterince analiz edilmediği ve aydınlatmanın yetersiz kaldığı tespitlerine yer verilmiştir.

Kurulun Tespitleri Bordro Gönderim Kontrol Listesi

İçindekiler 1. Olayın Özeti: Bordro Gönderimi ve Veri İhlali 2. Teknik Kök Neden: Kuyruk Mekanizması ve Dil/Cihaz Tanımı 3. Kurulun Değerlendirmesi: Teknik Hata + İdari Eksiklik 4. Önleyici Önlemler: Bordro Süreçleri İçin En İyi Uygulamalar 5. Uyum, Riskler ve Uygulanabilir Kontrol Listesi 6. Sık Sorulan Sorular

Hızlı Özet

Etkilenen kişi sayısı: 489.
Etkilenen veri: Başkasına ait bordro görüntülenmesi ile ad-soyad, TCKN ve sicil numarası gibi bilgiler.
Kritik risk: Bordroların kişisel e-posta hesaplarına gönderilmesi nedeniyle veri üzerinde kontrol/geri çağırma ve doğrulama zorluğu + muhtemel yurt dışı saklama riski.
Yaptırım: Teknik ve idari tedbir eksikliği gerekçesiyle 60.000 TL idari para cezası.

489 Kişi Bordro İfşası Kişisel E-Posta Riski Aydınlatma 60.000 TL

Not: Bordrolar; kimlik bilgileriyle birlikte “çalışan mahremiyeti” açısından yüksek risk taşıyan belgelerdir. Bu nedenle bordrolama ve e-posta gönderim süreçleri, hem BT hem de İK tarafında “kritik süreç” olarak ele alınmalı, test/konfigürasyon değişiklikleri kontrollü yürütülmelidir.

1. Olayın Özeti: Bordro Gönderimi ve Veri İhlali

Veri sorumlusu, çalışanların kendi rıza ve talepleriyle yazılı ve imzalı şekilde ilettiği kişisel e-posta adreslerini sisteme işlemiş; bordro programı üzerinden bu adreslere bordrolar gönderilmiştir. Gönderim sonrasında bazı alıcılar, kendi bordrosu yerine başka bir çalışana ait bordroyu görüntüleyebilmiştir.

Başlık	Karar özetindeki bilgi	KVKK açısından risk
İhlalin oluş biçimi	Kişisel e-posta adreslerine gönderilen bordrolarda yanlış bordro görüntülenmesi	Yanlış kişiye ifşa / gizlilik ihlali
Etkilenen veri	Başkasına ait ad, soyad, TCKN, sicil numarası görüntülenmesi	Kimlik bilgisi ifşası, çalışan mahremiyeti riski
Maaş bilgisi	Maaş bilgisinin herkeste aynı “jenerik” bilgi olarak göründüğü	Asıl risk, yanlış bordro kimlik verileri ve bordro içeriğinin ifşası
Etkilenen kişi sayısı	489	Geniş ölçekli çalışan etkisi, olay yönetimi ve bildirim yükü

Pratik okuma: Bordro içeriğinin “tam maaş tutarı” görünmese bile, bordro belgesi üzerinden kimlik tespiti yapılabilmesi ve “kimin bordrosu kime gitti” sorusunun ortaya çıkması, ihlalin ciddiyetini artırır.

2. Teknik Kök Neden: Kuyruk Mekanizması ve Dil/Cihaz Tanımı

Bildirimde; ihlalin sistemsel bir hata sebebiyle meydana geldiği, bu teknik hatanın da bordro sisteminde Türkçe dili için bir cihaz türü tanımlı olmaması nedeniyle oluştuğu belirtilmiştir. Bu konfigürasyon eksikliği, programın bordro zarflarını “anlık göndermek” yerine önce kuyruğa alıp daha sonra e-posta atma yöntemini kullanmasına ve hatalı eşleşme/dağıtım riskinin doğmasına yol açmıştır.

2.1. Neden önemli?

Konfigürasyon hataları (dil/cihaz türü gibi) beklenmedik iş akışlarını tetikleyebilir.
Kuyruk (queue) işleme mekanizmaları; doğru alıcı-doğru içerik eşleşmesi için ek doğrulama ister.
Toplu gönderimlerde “tek bir hata”, aynı anda çok sayıda çalışanın etkilenmesine neden olabilir.

İyi uygulama: Bordro gibi kritik belgelerde; “kuyrukta bekleyen gönderimler” için otomatik doğrulama + örneklem kontrol + başarısız senaryolarda durdurma (kill switch) mekanizması tasarlanmalıdır.

3. Kurulun Değerlendirmesi: Teknik Hata + İdari Eksiklik

İnceleme sürecinde Kurul; “neden kişisel e-posta yerine şirket e-postasına gönderim yapılmadığı” yönünde bilgi istemiş; veri sorumlusu ise sahada çalışan personel yoğunluğu nedeniyle herkese şirket e-postası tanımlı olmadığını ve ayrıca şirketin kurumsal e-posta üzerinde erişim olanağı bulunduğunu dikkate alarak kişisel e-postaya gönderimin daha uygun görüldüğünü belirtmiştir.

3.1. Kişisel e-posta tercihi neden idari risk doğurur?

Silme/geri alma kontrolü: Kişisel e-posta hesaplarında (farklı sağlayıcılar olduğundan) merkezi kontrol sınırlıdır.
İspat ve denetim zorluğu: Yanlış bordronun silinip silinmediğini doğrulamak zorlaşır.
Veri kontrol kaybı: Kişisel hesaplar üzerinden yapılan iş iletişimi “kurumsal kayıt” niteliğini zayıflatabilir.

3.2. Risk değerlendirmesi ve aydınlatma

Kurul, Kişisel Veri Güvenliği Rehberi’nde geçen “risk ve tehditlerin belirlenmesi” ile “resmi raporlama prosedürü” vurgularını hatırlatarak, ihlale konu riskin veri sorumlusu tarafından önceden değerlendirilmediği kanaatine yer vermiştir. Ayrıca; açık rıza alındığı ve aydınlatma yapıldığı belirtilse de, aydınlatma metninin ilgili kişileri bu hususlara ilişkin yeterince bilgilendirmediği ve kişilere başka seçenek bırakmadığı yönünde tespit yapılmıştır.

3.3. Yurt dışı saklama / aktarım riski

Kurul, kurumsal e-posta hizmetinin sunucularının yurt dışında olabileceğine ilişkin 2019/157 sayılı kararındaki yaklaşımı hatırlatarak; kurumsal e-posta hizmeti temin edilmeden çalışanların şahsi e-posta hesaplarının iş amaçlı kullanılmasının, verilerin farklı ülkelerde saklanması durumunu ortaya çıkarabileceği ve veriler üzerinde kontrol kaybına neden olabileceği riskini vurgulamıştır.

Tüm bu hususlar dikkate alınarak; KVKK m.12/1 kapsamında gerekli teknik ve idari tedbirleri almayan veri sorumlusu hakkında KVKK m.18/1-b uyarınca 60.000 TL idari para cezası uygulanmasına karar verilmiştir.

Özet mesaj: “Teknik hata” çoğu zaman tek başına değildir; süreç tasarımı, kanal seçimi (kişisel e-posta), risk analizi ve aydınlatma kalitesi, ihlalin etkisini büyütür ve uyum riskini artırır.

4. Önleyici Önlemler: Bordro Süreçleri İçin En İyi Uygulamalar

Bordro gönderimi gibi “hassas ve tekrarlayan” iş süreçlerinde, güvenlik kontrolü yalnızca e-posta atmayı değil; bordronun üretilmesi, zarflanması, eşleştirilmesi, gönderilmesi, loglanması ve olay yönetimini de kapsamalıdır.

4.1. Kanal ve hesap yönetimi

Kurumsal e-posta hesabı tahsisi: Bordro gönderimleri mümkünse yalnızca kurumsal hesaplara yapılmalı.
Alternatif güvenli kanal: E-posta yerine portal/İK self-servis ekranı (MFA ile) üzerinden erişim tercih edilebilir.
Kişisel e-posta zorunluysa: Seçenekli süreç; risk açıklaması + tercih yönetimi + kayıtlı onay + minimum veri ilkesi.

4.2. “Doğru alıcı – doğru içerik” kontrolleri

Ön izleme doğrulaması: Toplu gönderim öncesi örneklem kontrol (rastgele 10-20 zarf kontrolü).
Hash/ID eşleştirme: Bordro zarfının alıcı çalışan ID’si ile zorunlu eşleşmesi (gönderimde bloklama).
Kuyruk güvenliği: Queue’da bekleyen işler için sıralı bütünlük kontrolü ve tekrar denemelerde güvenli idempotency.

4.3. Konfigürasyon, test ve değişiklik yönetimi

Dil/cihaz türü gibi konfigürasyonlar: Prod öncesi kontrol listesi ile doğrulanmalı.
Test ortamı: Bordro yazılımı güncellemeleri ve ayar değişiklikleri test ortamında denenmeli.
Değişiklik kaydı: Kim, neyi, ne zaman değiştirdi? (audit trail)

4.4. Olay yönetimi (incident) ve hızlı müdahale

Acil durdurma (kill switch): Yanlış gönderim şüphesinde toplu gönderim otomatik durmalı.
Geri çağırma ve iletişim: Kurumsal sistemlerde geri çağırma imkânı, kişisel e-postaya göre daha yönetilebilir.
Log ve delil: Hangi zarf, hangi adrese, hangi zamanda gitti? erişim/görüntüleme logları tutulmalı.

İK + BT ortak kontrol: Bordrolama; hem “İK süreci” hem “BT güvenlik süreci”dir. Bu nedenle sorumluluklar, olay anında kimin hangi aksiyonu alacağı (İK, BT, Hukuk/Uyum) netleştirilmelidir.

5. Uyum, Riskler ve Uygulanabilir Kontrol Listesi

Bordro e-postası kaynaklı ihlaller, “insan hatası” gibi görünse de genellikle süreç tasarımı ve kontrol eksikliğinden beslenir. KVKK uyumu açısından; veri minimizasyonu, erişim kontrolü, şeffaf aydınlatma ve risk analizi birlikte ele alınmalıdır.

5.1. Başlıca riskler

Yanlış içerik-ifşa: Kimlik bilgisi içeren belgelerin yetkisiz kişilerce görülmesi.
Kontrol kaybı: Kişisel e-posta sağlayıcıları üzerinde veri sorumlusunun geri alma/silme doğrulaması yapamaması.
Yurt dışı saklama riski: E-posta altyapısının nerede bulunduğunun belirsizliği.
Yetersiz aydınlatma: Çalışana seçenek sunmayan veya riskleri açıklamayan metinler.

5.2. Mini kontrol listesi (uygulamaya dönük)

Kurumsal hesap/portal: Bordro erişimi için güvenli kurumsal kanal tanımlandı mı?
Yetkilendirme: Bordro üretim ve gönderim ekranlarına erişim rol bazlı mı?
Doğrulama: “Alıcı–bordro” eşleştirmesi otomatik doğrulanıyor mu?
Konfigürasyon: Dil/cihaz türü ve queue davranışı test edildi mi?
Loglama: Gönderim/görüntüleme/indirme logları ve alarm kuralları var mı?
Aydınlatma & tercih: Çalışanlara seçenek sunuldu mu, metinler anlaşılır mı?
Olay planı: Yanlış gönderimde ilk 1 saatte yapılacaklar net mi?

Benzer içerik: Veri ihlalinden sonra kimliğinizi nasıl koruyabilirsiniz?

6. Sık Sorulan Sorular

Çalışan “kendi rızasıyla” kişisel e-posta verirse risk kalkar mı?

Hayır. Rıza/tercih olsa bile veri sorumlusu, KVKK m.12 kapsamındaki teknik ve idari tedbir yükümlülüğünü taşır. Ayrıca aydınlatmanın yeterli olması ve çalışanlara gerçek bir seçenek sunulması beklenir.

Maaş tutarı görünmüyorsa yine de ihlal olur mu?

İhlalin değerlendirmesi yalnızca maaş tutarıyla sınırlı değildir. Bordro üzerinden kimlik bilgileri ve bordronun kime ait olduğunun anlaşılması gizlilik ihlalidir; ayrıca bordro belgesi çalışan mahremiyeti açısından hassas kabul edilir.

Kurumsal e-posta yoksa en güvenli alternatif nedir?

En pratik alternatif, çalışanların MFA ile giriş yaptığı İK self-servis/portal üzerinden bordro erişimidir. E-posta yalnızca “bildirim” için kullanılabilir; bordronun kendisi portaldan görüntülenebilir/indirilebilir.

Bu kararın “en kritik dersi” nedir?

Teknik bir hata, doğru süreç tasarımı yoksa büyür. Bordro gibi kritik belgelerde kanal seçimi (kişisel e-posta yerine kurumsal kontrol edilebilir kanal), risk analizi ve doğru alıcı-doğru içerik kontrolleri birlikte kurgulanmalıdır.

KVKK 2021/464 Bordro Veri İhlali Yanlış E-Posta TCKN İfşası İK Süreçleri Teknik ve İdari Tedbirler Aydınlatma Yükümlülüğü Yurt Dışı Saklama Riski