KVKK 2021/470 Karar Özeti: Yemek Kartı Hesap Hareketlerine Erişim Talebi ve Şifreli Dosya Uygulaması
Bu içerik, Kişisel Verileri Koruma Kurulunun 06/05/2021 tarihli ve 2021/470 sayılı karar özetini, “ilgili kişinin kişisel verilerine erişim hakkı” (KVKK m.11) ile “veri güvenliği tedbirleri” (KVKK m.12) arasındaki dengeyi gösterecek şekilde açıklar. Olayda, ilgili kişi işvereni tarafından tahsis edilen yemek kartının hesap hareketlerine erişim talep etmiş; veri sorumlusu ise kimlik doğrulama ve şifreli dosya gibi ilave önlemler uygulamıştır.
Kurul; veri sorumlusunun, talep edilen verileri e-posta ekinde paylaştığını, dosyayı şifreleyerek veri güvenliğini artırmayı amaçladığını ve şifrenin telefonla paylaşılmasının ilgili kişi açısından orantısız bir külfet doğurmadığını değerlendirerek erişim hakkının engellenmediği sonucuna varmıştır. Ayrıca karar özetinde, Gmail gibi altyapısı yurt dışında barındırılan e-posta servisleri üzerinden aktarımda oluşabilecek risklere dikkat çekilerek veri sorumlusunun “ek güvenlik önlemi” yaklaşımı makul görülmüştür.
Şikayet: “Ek güvenlik önlemi” nedeniyle veriye erişimin engellendiği iddiası.
Veri sorumlusu: Kimlik doğrulama + e-posta ekinde paylaşım + dosya şifreleme + şifrenin telefonla verilmesi.
Kurul sonucu: Şifreleme, KVKK m.12 kapsamındaki veri güvenliği yükümlülüğüyle uyumlu ve makul bir tedbirdir;
erişim hakkı engellenmemiştir; işlem yok.
1. Olayın Özeti ve İhtilafın Kaynağı
İlgili kişi, kendisine işvereni tarafından tahsis edilen yemek kartına ait hesap hareketlerinin veri sorumlusu şirket tarafından paylaşılmasını talep etmiş; veri sorumlusu ise, bilgilerin paylaşımı için kimlik doğrulama amacıyla ilave bilgi istemiştir.
İlgili kişi, talep üzerine ıslak imzalı dilekçe ve kimlik görüntüsünü e-posta ile göndermiş; veri sorumlusu da hesap hareketlerinin e-posta ekiyle paylaşıldığını belirtmiş; ancak dosyaya erişim için telefonla aranacak bir numara üzerinden şifre paylaşılacağını ifade etmiştir.
1.1. Şikayetin Temel İddiası
- İlave güvenlik önlemi nedeniyle kendi verilerine erişimin engellendiği,
- Hesap hareketlerinin KVKK’ya uygun biçimde paylaşılmadığı,
- Uygulamanın hukuka aykırı olduğu iddiası.
2. Veri Sorumlusunun Savunması: Kimlik Doğrulama & Şifreleme
İnceleme kapsamında veri sorumlusundan savunma istenmiş; veri sorumlusu özetle şu hususları belirtmiştir:
2.1. Kimlik Doğrulama İhtiyacı
- İlgili kişinin başvurusunun geldiği e-posta adresinin sistemde kayıtlı olmaması nedeniyle iletişim kanalının teyit edilemediği,
- Paylaşım yapılacak kişinin gerçekten ilgili kişi olduğunun doğrulanması amacıyla ilave doğrulama istendiği,
- Bu yaklaşımın, yanlış kişiye veri paylaşımı riskini azaltmayı hedeflediği.
2.2. Gmail Adresine Gönderim ve Risk Değerlendirmesi
Veri sorumlusu, ilgili kişinin talep ettiği e-posta adresinin gmail gibi altyapısı yurt dışında barındırılabilen bir hizmet olması nedeniyle, e-posta ortamında veri güvenliğini en üst düzeyde sağlamak amacıyla dosyayı şifrelediğini; şifrenin paylaşımı için ilgili kişiye arayabileceği bir telefon numarası bildirdiğini ve gerekçeyi açıkladığını ifade etmiştir.
2.3. Paylaşımın Yapıldığı İddiası
- İlgili kişinin talep ettiği hesap hareketlerinin e-posta ekinde paylaşıldığı,
- Şifrenin ise telefonla doğrulama üzerinden paylaşılacağı,
- Bu tedbirin erişimi engellemeye değil, yetkisiz erişimi önlemeye yönelik olduğu.
3. Kurul Değerlendirmesi: KVKK m.11 Erişim Hakkı & KVKK m.12 Güvenlik
Kurul, değerlendirmesinde erişim hakkını ve veri güvenliği yükümlülüğünü birlikte ele almıştır. Kararda öne çıkan ana noktalar aşağıdaki şekilde özetlenebilir:
3.1. KVKK m.11 Kapsamında Erişim Hakkı
Kurul; Kanun’un 11’inci maddesinde yer alan “veri işlenmişse bilgi talep etme” hakkının, pratikte veriye erişim hakkını da kapsadığını; erişimin, ilgili kişinin verilerinin nasıl işlendiğini tam olarak görebilmesi açısından tamamlayıcı nitelikte olduğunu vurgulamıştır.
3.2. KVKK m.12 Kapsamında Veri Güvenliği Tedbirleri
Kurul; veri sorumlusunun kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, muhafazayı sağlamak için gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü hatırlatmıştır. Bu kapsamda, veri güvenliği rehberleri ve başvuru usul/esasları çerçevesinde risklerin belirlenerek uygun tedbir alınması gerektiği değerlendirilmiştir.
3.3. Şifreleme Tedbirinin Makullüğü ve Orantılılık
- Şifreleme; verinin üçüncü kişilerce okunmasını engelleyen, veri güvenliğini artıran bir yöntemdir.
- Dosyanın şifreli gönderilmesi ve şifrenin telefonla paylaşılması, ilgili kişiye orantısız bir külfet yüklemediği ölçüde makul görülebilir.
- Veri sorumlusu, şifreleme gerekçesini açıklamış ve şifrenin derhal paylaşılacağını belirtmiştir.
3.4. Gmail ve Yurt Dışı Altyapı Vurgusu
Karar özetinde, Gmail hizmetinin altyapısının dünyanın farklı veri merkezlerinde bulunabilmesine ilişkin risklere değinilerek, veri sorumlusunun aldığı ilave güvenlik önleminin Kanuna aykırılık değil, aksine Kanunun titizlikle uygulanması kapsamında değerlendirildiği ifade edilmiştir.
4. Uygulama Notları: E-posta ile Veri Paylaşımı, Şifreleme ve Orantılılık
Bu karar, veri sorumlularının ilgili kişi başvurularını yönetirken hem “kolay erişim” hem de “güvenli paylaşım” hedeflerini aynı anda yürütmesi gerektiğini gösterir. Aşağıdaki ilkeler, benzer başvurularda pratikte yol gösterici olabilir.
4.1. Kimlik Doğrulama Tasarımı
- Başvurunun geldiği kanal sistemde kayıtlı değilse, ikincil doğrulama mekanizması kurgulayın.
- İstenen ek bilgi seti asgari olmalı; gereğinden fazla kimlik/veri talebinden kaçınılmalıdır.
- Doğrulama adımı, “erişimi geciktirmek” değil; yanlış kişiye veri aktarımını önlemek amacına hizmet etmelidir.
4.2. Güvenli Paylaşım Prensipleri
- Hassas içerik içeren dosyalar için şifreleme ve ayrı kanaldan şifre paylaşımı (telefon/SMS/portal) tercih edilebilir.
- Şifre paylaşım yöntemi, ilgili kişi açısından makul ve erişilebilir olmalıdır (orantılılık).
- Paylaşımın yapıldığına dair kayıt/iz (log, ticket, e-posta kayıtları) tutulması ispat kolaylığı sağlar.
4.3. İlgili Kişiye Açıklama ve Şeffaflık
Güvenlik tedbirleri uygulanıyorsa, ilgili kişiye neden bu tedbirin alındığı net biçimde anlatılmalı; şifreye erişim yöntemi ve süresi açıkça belirtilmelidir. Bu şeffaflık, “engelleme” algısını azaltır.
5. Kontrol Listesi: Erişim Taleplerini Yönetme ve Güvenli Paylaşım
Aşağıdaki liste, ilgili kişi “veriye erişim” taleplerinde veri sorumlularının uygulamada kullanabileceği pratik bir kontrol setidir.
5.1. Hızlı Kontrol Listesi
- Başvuru kaydı: Başvuruyu ticket/CRM üzerinden kayıt altına al (tarih, kanal, konu).
- Kimlik doğrulama: Kayıtlı kanaldan mı geldi? Değilse makul ek doğrulama uygula.
- Veri kapsamı: Talep edilen veri setini netleştir; gereksiz veri ifşasından kaçın.
- Güvenli iletim: Dosyayı şifrele; şifreyi ayrı kanaldan paylaş (orantılı yöntem).
- Bilgilendirme: İlgili kişiye süreç ve güvenlik adımlarını anlaşılır anlat.
- Kayıt/kanıt: Paylaşımın yapıldığına dair kayıtları sakla (e-posta logları, teslim onayı).
- Süre yönetimi: Başvuru süresi ve iç SLA’ları takip et; gecikme riskini azalt.
- Risk değerlendirmesi: Yurt dışı altyapı, yanlış alıcı, phishing vb. riskleri değerlendir.
5.2. Mini Şablon: “Şifreli Dosya” Açıklaması (Örnek Metin)
“Talebiniz kapsamında tarafınıza iletilen doküman, kişisel verilerinizin üçüncü kişilerce okunmasını önlemek amacıyla şifrelenmiştir. Şifre paylaşımı, güvenliğin artırılması amacıyla e-posta dışında ikinci bir iletişim kanalı üzerinden yapılacaktır. Aşağıdaki numarayı aradığınızda şifre tarafınıza derhal iletilecektir.”
6. Sık Sorulan Sorular
İlgili kişi erişim talebinde bulunduğunda veri sorumlusu kimlik doğrulama isteyebilir mi?
Evet. Amaç, verinin yanlış kişiye gitmesini önlemekse veri sorumlusu makul ölçüde kimlik doğrulama yapabilir. Önemli olan istenen ilave bilgilerin asgari ve gerekli olması ve süreci gereksiz yere zorlaştırmamasıdır.
Dosyayı şifreleyip şifreyi telefonla vermek erişim hakkını engellemek sayılır mı?
Bu kararda Kurul, dosya şifrelemesinin veri güvenliği açısından makul bir tedbir olabileceğini; şifrenin telefonla verilmesinin ilgili kişi için orantısız külfet yaratmadığı ölçüde erişim hakkını engellemediğini değerlendirmiştir.
E-posta adresi sistemde kayıtlı değilse ne yapılmalı?
Başvurunun gerçekten ilgili kişiden geldiğini doğrulamak için ek doğrulama adımları tasarlanabilir. Ayrıca mümkünse kayıtlı iletişim kanalları üzerinden yanıt verilmesi veya güvenli bir portal üzerinden paylaşım yapılması tercih edilebilir.
Gmail gibi servisler neden risk değerlendirmesine konu oluyor?
Karar özetinde, Gmail altyapısının dünyanın farklı yerlerindeki veri merkezlerinde barındırılabilmesine ilişkin risklere değinilerek, veri sorumlusunun yetkisiz erişimi önlemeye yönelik ek tedbirler almasının KVKK m.12 kapsamında değerlendirilmesi gerektiği vurgulanmıştır.
