Pasaport fotoğrafının WhatsApp grubunda tutulması KVKK açısından neden yüksek risklidir?

Pasaport görüntüsü kimlik bilgisi içerdiğinden güçlü bir kişisel veridir. Çalışanların kişisel cihazlarında veya mesajlaşma uygulamalarında kopyalanması; yetkisiz erişim, kontrolsüz çoğalma, üçüncü kişilere aktarım ve veri ihlali riskini artırır. 2021/78 sayılı kararda Kurul, veri sorumlusunun KVKK m.12 kapsamındaki teknik/idari tedbirleri sağlamadığını değerlendirmiştir.

“Eksik evrak cezası almamak” gerekçesi pasaport fotoğrafı çekmeyi meşru kılar mı?

Hayır. Kurul yaklaşımı; işleme faaliyetinin amaçla bağlantılı, sınırlı ve ölçülü yürütülmesi ve güvenli kanalların kullanılması gerektiği yönündedir. WhatsApp gibi tüketici mesajlaşma kanallarında depolama, hukuki gerekçeden bağımsız olarak ciddi güvenlik ve uyum problemi doğurabilir.

Veri ihlali yaşanırsa Kurula bildirim şart mı?

KVKK m.12/5 uyarınca, kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde veri sorumlusu, durumu en kısa sürede ilgili kişiye ve Kurula bildirmekle yükümlüdür. 2021/78 sayılı kararda, ihlal kapsamında Kurula bildirim yapılmadığı hususu ayrıca değerlendirilmiştir.

KVKK Karar Özeti 2021/78: Pasaport Fotoğrafının WhatsApp’ta Depolanması (Telekom Satışı)

KVKK Karar Özeti · 2021/78 · Pasaport Görüntüsü · WhatsApp · Veri İhlali · TCK 136

KVKK 2021/78 Kararı: Telekom Satışında Pasaport Fotoğraflarının Çekilip WhatsApp’ta Depolanması

Karar Tarihi: 03/02/2021 · Karar No: 2021/78 · Konu: Ürün satışı esnasında müşterilerin pasaport fotoğraflarının çekilerek depolanması ve çalışanlardan oluşan WhatsApp grubunda saklanması/paylaşılması iddiası (İstanbul Havalimanı şubesi).

Olay Özeti Kurul Değerlendirmesi Uyum Yol Haritası

İçindekiler 1. İhbar ve Olayın Özeti 2. Veri Sorumlusunun Savunması 3. İlgili Mevzuat 4. Kurul Değerlendirmesi 5. Karar ve Sonuç 6. Uyum (Compliance) Kontrol Listesi 7. SSS 8. Kaynak

Hızlı Sonuç

Kurul, ihbar ekindeki kanıtlar nedeniyle; pasaport bilgilerinin WhatsApp grubunda paylaşıldığı kanaatiyle veri sorumlusunun KVKK m.12/1 (teknik-idari tedbirler) ve m.12/3 (denetim) yükümlülüklerini ihlal ettiğini değerlendirmiş; ayrıca ihlale ilişkin Kurula bildirim yapılmaması nedeniyle m.12/5 bakımından da aykırılık tespit etmiş; idari para cezası ve TCK 136 kapsamında suç duyurusu bildirimi kararı vermiştir.

KVKK m.12 İhlal Bildirimi WhatsApp Riski TCK 136 Kimlik/Pasaport

Kritik çıkarım: “Telefon yasak, kamera var” gibi prosedürler tek başına yeterli değildir. Kurul, fiili uygulamayı kanıtlayan emareler karşısında etkin denetim ve gerçekçi teknik kontroller beklemektedir.

1. İhbar ve Olayın Özeti

Kuruma intikal eden ihbarda; veri sorumlusunun İstanbul Havalimanı şubesinde dış hatlara gelen yolculara kontörlü hat satışı sırasında, müşterilerin rızası olmadan “ileride eksik evrak cezası almamak” gerekçesiyle pasaport fotoğraflarını çektiği; bu fotoğrafların çalışanlardan oluşturulan WhatsApp grubunda depolandığı ve üçüncü kişilerle paylaşıldığı ileri sürülmüştür.

İhbar sahibi, veri sorumlusunun eski çalışanı olduğunu ve söz konusu WhatsApp gruplarına üye olduğunu, bu gruplarda paylaşılan pasaport fotoğraflarının kendi telefonunda da depolandığını belirtmiş; başvuru ekinde örnek görsellere yer vermiştir.

Riskin özeti (uygulama perspektifi):

Pasaport görüntüsünün WhatsApp’ta çoğalması (kopyalanabilirlik / kontrol kaybı)
Çalışanların kişisel cihazlarında saklama (güvenlik zafiyeti ve yetkisiz erişim)
Üçüncü kişilerle paylaşım iddiası (aktarımı yönetememe)
Olayın veri ihlali niteliği ve bildirimin gerekliliği

2. Veri Sorumlusunun Savunması

Veri sorumlusu, telekomünikasyon şirketi ile sözleşme ilişkisi bulunduğunu; hat açma süreçlerinin telekom şirketinin sistemi üzerinden yürütüldüğünü ve BTK düzenlemelerine uygun biçimde pasaport/kimliklerin taranarak sisteme yüklendiğini ifade etmiştir.

Mağazada şahsi telefon kullanımının yasak olduğu, yalnızca şirket bilgisayarı kullanıldığı
İş yerinin 24 saat kamera ile izlendiği ve işlemlerin telekom şirketi tarafından takip edildiği
Sisteme yüklenen kimlik/pasaport bilgilerinin telekom şirketinin depolama sistemine gittiği ve çalışanların sonradan erişemeyeceği
WhatsApp’ta depolama yapılmadığı; çalışanlara oryantasyonda “kişisel verilerin korunması” bilgilendirmesi verildiği
Şikâyetçinin gerçeğe aykırı iddialarda bulunduğu ve yerinde inceleme ile asılsızlığın anlaşılacağı

Kurulun yaklaşımı açısından kritik: Savunmada belirtilen prosedürler (kamera, telefon yasağı, sistem erişim kısıtları) önemli olmakla birlikte, ihbar ekindeki kanıt niteliğindeki materyaller “fiili uygulama” açısından belirleyici hale gelebilir.

3. İlgili Mevzuat

Kararda özellikle KVKK’nın tanımlar, işleme şartları ve veri güvenliği yükümlülükleri öne çıkmaktadır. Pasaport görüntüsü gibi kimlik dokümanları üzerinde işleme yapılması; güvenlik ve denetim beklentisini yükseltir.

Düzenleme	Başlık	Karar Bağlamında Rolü
KVKK m.3	Tanımlar	Kişisel veri, işleme, veri sorumlusu/veri işleyen ayrımı; somut olayda sorumluluğun belirlenmesi.
KVKK m.5	İşleme Şartları	Açık rıza kuralı ve istisnalar; işlemelerin amaçla bağlantılı ve ölçülü yürütülmesi.
KVKK m.12/1	Teknik & İdari Tedbirler	Hukuka aykırı işleme/erişimi önleme ve muhafazayı sağlama yükümlülüğü.
KVKK m.12/3	Denetim	Kuruluş içinde Kanun’un uygulanmasını sağlayacak denetimlerin yapılması/yaptırılması.
KVKK m.12/5	Veri İhlali Bildirimi	Kanuni olmayan yollarla elde edilme halinde Kurula ve ilgili kişiye bildirim yükümlülüğü.
TCK m.136	Kişisel Verileri Hukuka Aykırı Verme/Yayma	İhbara konu fiillerin cezai boyutu; Kurulun Cumhuriyet Başsavcılığına bildirim kararı.

Önemli pratik not: Kimlik/pasaport görsellerinin “mesajlaşma uygulamalarında” saklanması, kurum içi veri envanteri, erişim yetkileri, loglama ve saklama politikalarıyla uyumlu olmayan “gölge BT (shadow IT)” riskidir.

4. Kurulun Değerlendirmesi

Kurul; pasaportların işlendiği sistemin telekomünikasyon şirketinin kurduğu/yönettiği sistem olduğu anlaşılsa da, sisteme veri girişini yapan çalışanların veri güvenliğine uyumunu sağlamak ve işleme sırasında kişisel veri güvenliğini temin etmek bakımından şikâyet olunan şirketin sorumluluğu bulunduğu kanaatiyle, somut olayda şikâyet olunan şirketin veri sorumlusu olduğunu değerlendirmiştir.

m.12/1 – Tedbir yetersizliği İhbar ekindeki kanıtlar pasaport bilgilerinin bir grupta paylaşıldığını gösterdiğinden, veri sorumlusunun uygun güvenlik düzeyini temin edecek teknik ve idari tedbirleri almadığı kanaatine varılmıştır.

m.12/3 – Denetim yükümlülüğü Veri sorumlusunun kurum içinde KVKK uygulamasını sağlayacak denetimleri yapma/yaptırma yükümlülüğüne aykırılık değerlendirilmiştir.

m.12/5 – İhlal bildirimi Çalışan kaynaklı veri ihlali emareleri varken Kurula bildirim yapılmadığı dikkate alınmış; bu nedenle ayrıca aykırılık tespit edilmiştir.

Kilit mesaj: “Politika var” demek yerine, fiili uygulamanın gerçekten engellendiğini gösteren kanıtlanabilir kontroller (MDM, DLP, erişim kısıtları, olay kayıtları, disiplin süreçleri ve denetim raporları) önemlidir.

5. Karar ve Sonuç

Başlık	Kurul Sonucu
İdari para cezası (m.12/1 & m.12/3)	Pasaport bilgilerinin WhatsApp gruplarında paylaşıldığı kanaatiyle; teknik/idari tedbirlerin yetersizliği ve denetim yükümlülüğüne aykırılık nedeniyle idari para cezası uygulanmasına karar verilmiştir.
İdari para cezası (m.12/5)	Çalışan kaynaklı veri ihlali kapsamında Kurula bildirim yapılmaması dikkate alınarak ayrıca idari para cezası uygulanmasına karar verilmiştir.
Ceza hukuku boyutu	TCK m.136 kapsamında ihbara konu aykırılıkların sorumluları hakkında Cumhuriyet Başsavcılığına ihbar yapılmasına karar verilmiştir.

Bu kararın işletmelere etkisi: Özellikle havalimanı, sınır geçiş noktaları, turistik lokasyonlar gibi hızlı satışın olduğu sahalarda kimlik/pasaport işleme pratikleri; gölge depolama riskine çok açıktır. Kurul, bu noktada “operasyonel hız” gerekçesiyle güvenlik standardının düşürülmesini kabul etmemektedir.

6. Uyum (Compliance) Kontrol Listesi: Pasaport/Kimlik Görüntüsü Nasıl Yönetilmeli?

Aşağıdaki maddeler, 2021/78 kararındaki riskleri azaltmak için “saha satış” senaryolarına uygun şekilde hazırlanmıştır.

6.1. Süreç Tasarımı

Tek kanal kuralı: Kimlik/pasaport görüntüleri yalnızca kurumsal sistem (portal) üzerinden alınmalı; WhatsApp/kişisel e-posta/galeri gibi kanallar kesin olarak yasaklanmalı.
Minimizasyon: “Ceza yememek için fotoğraf biriktirme” gibi ikincil depolama pratikleri kaldırılmalı; gerekliyse sistemsel doğrulama/eksik belge uyarısı otomatikleştirilmeli.
Yetkilendirme: Sadece rolü gereği erişmesi gereken personel; süreli ve kayıtlı erişimle işlem yapmalı.

6.2. Teknik Tedbirler (m.12)

MDM / App Control: Şirket cihazlarında WhatsApp ve benzeri uygulamaların kurumsal profilde kullanımını sınırlandırın; kamera/galeri aktarımını politika ile kısıtlayın.
DLP / CASB: Görsel/kimlik verilerinin mesajlaşma uygulamalarına taşınmasını engelleyen kurallar (anahtar kelime + dosya tipi + görsel imza) kurgulayın.
Log & iz: Portalda “kim, ne zaman, hangi kimliği yükledi” kayıtları; hatalı işlem ve tekrar yüklemeleri otomatik bayraklayan izleme.
Şifreleme & saklama: Kimlik görselleri sistemde şifreli saklanmalı; erişim denemeleri ve dışa aktarımlar raporlanmalı.

6.3. İdari Tedbirler

Net disiplin prosedürü: Kişisel cihazda saklama ve üçüncü kişiyle paylaşım için kademeli yaptırım ve kayıt altına alma.
Denetim (m.12/3): Düzenli iç denetimler + sürpriz saha denetimi + bulgu kapatma planı.
Eğitim + ölçüm: Eğitim sonrası mini sınav/taahhüt + yılda en az 1 tekrar + saha hatalarıyla hedefli eğitim.

6.4. Veri İhlali Yönetimi (m.12/5)

Olay müdahale planı: WhatsApp’ta paylaşım şüphesi doğarsa ekran görüntüsü toplama, cihaz inceleme, erişim kesme, parola sıfırlama, kanal kapatma adımları.
Bildirim triage: İhlalin kapsamı, etkilenen kişi sayısı ve risk seviyesi hızlıca belirlenip Kurul/ilgili kişi bildirim kararları alınmalı.

Altın kural: Kimlik/pasaport verisi “kurumsal sistem dışında” dolaşmaya başlarsa, uyum sadece metinle değil teknik engellerle sağlanmalıdır.

7. Sık Sorulan Sorular

“Telekom şirketinin sistemi var, biz sadece bayi/şube” demek sorumluluğu kaldırır mı?

Hayır. Kurul, sisteme işleme sırasında veri güvenliğini sağlama ve çalışanların yükümlülüklere uymasını temin etme bakımından şube/bayi tarafında da sorumluluk bulunduğu kanaatine varmıştır.

Pasaport görüntüsü, kısa süreliğine WhatsApp’ta tutulsa bile sorun olur mu?

Evet. Kısa süreli bile olsa kontrolsüz çoğalma, üçüncü kişilerce elde edilme ve kişisel cihazlarda kalıcı iz bırakma riski devam eder. Bu nedenle kurumsal politikalar “yasak” demekle kalmamalı; teknik olarak da uygulanmalıdır.

İhlal bildirimi yapılmazsa ne olur?

KVKK m.12/5 yükümlülüğüne aykırılık, ayrıca yaptırım riskini artırır. 2021/78 sayılı kararda bu husus ayrıca değerlendirilmiştir.

8. Kaynak

KVKK – 2021/78 içerik sayfası: https://www.kvkk.gov.tr/Icerik/7108/2021-78

SEO notu: Sayfada “2021/78”, “pasaport fotoğrafı”, “WhatsApp grubu”, “telekomünikasyon satış”, “veri ihlali bildirimi”, “KVKK m.12”, “TCK 136” anahtar kelimeleri doğal akışta dağıtılmıştır.

KVKK 2021/78 Kararı: Telekom Satışında Pasaport Fotoğraflarının Çekilip WhatsApp’ta Depolanması

1. İhbar ve Olayın Özeti

2. Veri Sorumlusunun Savunması

3. İlgili Mevzuat

4. Kurulun Değerlendirmesi

5. Karar ve Sonuç

6. Uyum (Compliance) Kontrol Listesi: Pasaport/Kimlik Görüntüsü Nasıl Yönetilmeli?

6.1. Süreç Tasarımı

6.2. Teknik Tedbirler (m.12)

6.3. İdari Tedbirler

6.4. Veri İhlali Yönetimi (m.12/5)

7. Sık Sorulan Sorular

“Telekom şirketinin sistemi var, biz sadece bayi/şube” demek sorumluluğu kaldırır mı?

Pasaport görüntüsü, kısa süreliğine WhatsApp’ta tutulsa bile sorun olur mu?

İhlal bildirimi yapılmazsa ne olur?

8. Kaynak

Author: Nisa Orman

Related Posts