Banko, Gişe ve Masa Alanlarında Kişisel Verilerin Korunması İlke Kararı 2017/62
Banko, gişe ve masa gibi vatandaşa/müşteriye yüz yüze hizmet sunulan alanlar, kişisel verilerin en hızlı şekilde ifşa olabildiği noktalardır. Özellikle bitişik düzende hizmet verilen yerlerde; aynı anda hizmet alan kişilerin birbirlerine ait verileri duyması, görmesi veya öğrenmesi riski artar. Kişisel Verileri Koruma Kurulu, bu riskleri azaltmak ve sahada yaşanan ihlal örneklerini önlemek amacıyla 21/12/2017 tarihli ve 2017/62 sayılı İlke Kararı ile çerçeveyi netleştirmiştir.
Bu rehber; İlke Kararı’nın kapsamını, KVKK m.12 uyarınca beklenen teknik ve idari tedbirleri, uyumsuzluk halinde gündeme gelebilecek riskleri ve Türkiye’de (İstanbul, Ankara, İzmir ve diğer iller dahil) kamu-özel tüm kurumlarda uygulanabilir kontrol listesini pratik şekilde sunar.
Karar tarihi / no: 21/12/2017 – 2017/62
Odak: Banko/gişe/masa gibi alanlarda kişisel verilerin duyulmasını, görülmesini veya ele geçirilmesini önleme.
Dayanak: KVKK m.12 (teknik ve idari tedbir), m.15/6 (ilke kararı), m.18 (yaptırım süreçleri).
Beklenti: Fiziksel düzen + süreç tasarımı + eğitim + erişim kontrol + denetlenebilirlik.
Bu alanlar “ön yüz” olduğu için en küçük açık, doğrudan şikayet/ihbar riskine dönüşebilir.
1. İlke Kararı 2017/62 Nedir?
Kişisel Verileri Koruma Kurulu’nun 21/12/2017 tarihli ve 2017/62 sayılı İlke Kararı, banko/gişe/masa gibi hizmet alanlarında yaşanan kişisel veri güvenliği ihlallerine ilişkin ihbarlar üzerine yapılan değerlendirme sonucunda yayımlanmıştır. Kararın ana hedefi; aynı anda birbirine yakın konumda hizmet alan kişilerin, birbirlerine ait kişisel verileri duymasını, görmesini, öğrenmesini veya ele geçirmesini engellemektir.
Kararın Temel Yükümlülük Mesajı
Kurum ve kuruluşlar; KVKK’nın 12’nci maddesi uyarınca, hizmet noktalarında kişisel verilerin korunması için gerekli teknik ve idari tedbirleri almakla yükümlüdür. İlke Kararı; bu tedbirlerin sadece BT önlemleriyle sınırlı olmadığını, fiziksel mekân düzeni ve operasyonel süreçlerin de uyumun parçası olduğunu açıkça ortaya koyar.
| Başlık | Bilgi |
|---|---|
| Karar Tarihi | 21/12/2017 |
| Karar No | 2017/62 |
| Konu | Banko, gişe ve masa gibi hizmet alanlarında kişisel verilerin korunması |
| Dayanak Vurgusu | KVKK m.12 (tedbir), m.15/6 (yayımlama), uyulmaması halinde m.18 kapsamında işlem riski |
2. Kapsam: Hangi Kurum ve Hizmet Noktaları?
İlke Kararı, uygulamada kişisel veri güvenliği ihlali riski taşıyan ve bitişik düzende veya birbirine yakın konumda hizmet verilen çok sayıda kurum ve sektörü kapsar. Özellikle:
- Bankacılık ve sağlık sektörleri,
- Posta ve kargo hizmetleri,
- Turizm acenteleri ve biletleme/rezervasyon noktaları,
- Zincir mağazaların müşteri hizmetleri bölümleri,
- Abonelik işlemleri yapan kuruluşlar (telekom, enerji, su vb.),
- Belediye, vergi ve nüfus işlemleri gibi kamu hizmet noktaları
dahil olmak üzere, vatandaş/müşteri ile yüz yüze ve işlem bazlı veri paylaşımı yapılan tüm “ön ofis” alanlarında uygulanabilir niteliktedir. Türkiye genelinde şube/vezne ağı bulunan kurumlarda (İstanbul, Ankara, İzmir ve diğer iller) standartlaştırma ihtiyacı daha yüksektir.
“Yakın Düzen” Neden Önemli?
Yakın düzen hizmet noktalarında, veri güvenliği ihlali çoğu zaman siber saldırı kaynaklı değil; duyma-görme gibi fiziksel etkileşimlerle gerçekleşir. Bu nedenle tedbirler; mekânsal tasarım, sıra yönetimi, ekran gizliliği ve personel davranış standartları gibi alanlara yoğunlaşmalıdır.
3. Sahada Tipik İhlal Senaryoları
Banko/gişe/masa alanlarında kişisel veriler çoğunlukla sesli iletişim ve fiziksel belge/ekran üzerinden işlenir. Bu nedenle ihlaller “anlık” ve “tespiti zor” şekilde oluşabilir. Aşağıdaki senaryolar, sahada en sık görülen risk örnekleridir:
- Yüksek sesle işlem teyidi: T.C. kimlik numarası, adres, telefon gibi verilerin alanda duyulacak şekilde paylaşılması.
- Ekran görünürlüğü: Gişe ekranının yan/arka açıdan okunabilir olması, üçüncü kişilerin verileri görmesi.
- Belge bırakılması: Kimlik fotokopisi, dilekçe, rapor vb. evrakın banko üzerinde açıkta kalması.
- Sıra mesafesi yetersizliği: Aradaki mesafe ve yönlendirme eksikliği nedeniyle arkadaki kişinin konuşmayı duyması.
- Yetkisiz alan ihlali: Banko arkası / çalışan alanına ziyaretçi veya yetkisiz personelin geçebilmesi.
- Çağrı ekranı riski: İsim-soyisim tam gösterimi veya fazla veri içeren sıra anonsu.
Risk Etkisi
Bu senaryolar; ilgili kişinin mahremiyeti yanında kurum açısından şikayet/ihbar, denetim, idari yaptırım ve itibar kaybı riskini yükseltir. Dolayısıyla çözüm, tekil önlem değil; süreç ve mekânın birlikte tasarlandığı “kurumsal standart” yaklaşımıdır.
4. KVKK m.12 Perspektifi: Tedbir Çerçevesi
İlke Kararı 2017/62’nin ana vurgusu, KVKK’nın 12’nci maddesi çerçevesinde kişisel verilerin güvenliğinin sağlanmasıdır. Bu çerçevede kurumlar; kişisel verilerin hukuka aykırı işlenmesini ve hukuka aykırı erişilmesini önlemek ile verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin edecek teknik ve idari tedbirleri almak zorundadır.
İlke Kararının Pratik Çevirisi
Banko/gişe/masa alanları için uyum; yalnızca “politika yazmak” değil, sahada uygulanabilen kontroller kurmaktır. Kurul kararı; iki ana sonucu beraberinde getirir:
- Fiziksel ve operasyonel tedbirler zorunludur: Mesafe, bariyer, yönlendirme, ekran/belge gizliliği, yetkisiz alan kontrolü.
- Denetlenebilirlik gerekir: Tedbirlerin tasarımı, uygulanması, eğitimlerin verilmesi ve periyodik kontrol/denetim kayıtları.
Uyumsuzluk Riskinin Yönetimi
İlke Kararı, KVKK m.15/6 uyarınca yayımlanmış olup; karara uyulmaması halinde KVKK m.18 kapsamında işlem yapılabileceği belirtilmiştir. Kurumsal bakışla bu, “önleyici kontrol” ihtiyacını güçlendirir: ihlal olduktan sonra düzeltmek yerine, hizmet noktası tasarımı ve prosedürleri baştan doğru kurgulamak.
5. Banko/Gişe/Masa İçin Teknik ve İdari Tedbirler
Aşağıdaki kontrol listesi; İlke Kararı 2017/62’nin sahaya yansıtılmasını kolaylaştırmak amacıyla hazırlanmıştır. Kurumunuzun işlem türüne ve veri kategorilerine göre özelleştirilerek uygulanmalıdır.
1) Fiziksel Düzen ve Mahremiyet Tasarımı
- Sıra mesafesi: Banko önünde bekleme alanı için mesafe çizgileri ve bariyer/kordon sistemi.
- Görsel gizlilik: Gişe ekranları için privacy filter (ekran gizlilik filtresi) ve ekran açısı standardı.
- Belge yönetimi: Evrakların banko üzerinde açıkta bırakılmaması; kapalı evrak tepsisi/klasör kullanımı.
- Alan ayrıştırma: Banko arkası ve operasyon alanına yetkisiz girişin engellenmesi (kapı/turnike/erişim kontrol).
- Ses mahremiyeti: Yakın düzen alanlarda akustik düzenleme, düşük sesli iletişim standardı, gerektiğinde ayrı görüşme noktası.
2) Süreç ve İşleyiş Kontrolleri
- Sıra yönetimi: Numara sistemi, yönlendirme ekranlarında gereksiz veri gösteriminden kaçınma (tam ad-soyad yerine kodlama).
- İşlem teyidi standardı: Kimlik doğrulama sorularının alanda duyulmayacak şekilde kurgulanması (kısa teyit, maskeleme).
- Görüşme ayrıştırma: Hassas işlem türleri için “özel görüşme masası/odası” prosedürü.
- Yetkisiz kişi kontrolü: Banko/gişe/masa alanında personel dışında yetkisiz kişilerin bulunmamasına ilişkin saha disiplini.
3) Personel, Eğitim ve Davranış Standartları
- Rol bazlı farkındalık: Gişe/banko personeline pratik senaryolar üzerinden KVKK eğitimi.
- Gizlilik dili: Yüksek sesle veri tekrarından kaçınma; maskeleme alışkanlığı (örn. “telefonunuzun son 2 hanesi”).
- Temiz masa yaklaşımı: İş bitiminde banko üzerinde evrak/çıktı bırakmama, yazıcı çıktı kontrolü.
- Disiplin ve izleme: İhlal ve uygunsuzlukların kayıt altına alınması, düzeltici faaliyet mekanizması.
4) Teknik Önlemler ve Denetlenebilirlik
- Oturum kilidi: Banko bilgisayarlarında kısa süreli otomatik ekran kilidi.
- Yetki sınırlandırma: Uygulamalarda rol bazlı erişim; gereksiz veri alanlarının ekranda gösterilmemesi.
- Loglama: Erişim ve işlem kayıtlarının tutulması (en azından kritik işlemler için denetim izi).
- Maskeleme: Ekranda TCKN/telefon/e-posta gibi verilerin maskeli gösterimi (iş ihtiyacına göre aç-kapat).
5) Denetim, Ölçümleme ve Süreklilik
Tedbirlerin “kağıt üzerinde” kalmaması için periyodik kontrol mekanizması önerilir. Örneğin:
- Aylık/çeyreklik saha denetimi (şube/vezne bazlı kontrol formu),
- Yeni personel için oryantasyon ve yılda en az bir kez tazeleme eğitimi,
- Şikayet/ihbar kayıtları üzerinden kök neden analizi ve düzeltici faaliyet.
6. Sık Sorulan Sorular (SSS)
İlke Kararı 2017/62 yalnızca bankaları mı ilgilendirir?
Hayır. Bankacılık ve sağlık başta olmak üzere; kargo/posta, turizm, zincir mağaza müşteri hizmetleri, abonelik noktaları ve kamu vezneleri gibi yüz yüze hizmet sunulan tüm banko/gişe/masa düzenlerini kapsayacak şekilde değerlendirilmelidir.
“Yakın düzende hizmet” riski nasıl azaltılır?
Fiziksel mesafe ve bariyerlerle başlayıp; ekran gizlilik filtresi, belge yönetimi, düşük ses standardı, özel görüşme noktası ve sıra yönetimi gibi süreç kontrolleri ile tamamlanmalıdır.
En hızlı uygulanabilir 3 önlem nedir?
(1) Sıra mesafesi ve bariyer uygulaması, (2) ekran gizlilik filtresi + otomatik ekran kilidi, (3) personel için kısa ve pratik “hizmet noktası gizlilik” eğitimi.
Çağrı ekranında isim-soyisim göstermek sakıncalı mı?
İşleme göre risk doğurabilir. Genel yaklaşım; gereksiz kişisel veri gösteriminden kaçınmak, mümkünse numara/kod üzerinden çağrı yapmak ve veri minimizasyonu ilkesine uygun hareket etmektir.
İlke Kararına uyulmaması halinde ne olur?
İlke Kararına uyulmaması durumunda KVKK m.18 kapsamında idari yaptırım süreçleri gündeme gelebilir. Ayrıca şikayet/ihbar, itibar kaybı ve operasyonel riskler artar.
Kurumsal olarak nereden başlamalıyım?
Önce hizmet noktalarının tiplerini ve işlem akışlarını sınıflandırın; ardından minimum gizlilik standardını belirleyip pilot şubede uygulayın. Son adımda denetim planı ve eğitim döngüsüyle Türkiye genelinde standartlaştırın.
