KVKK Kurul Kararı · 2021/230 · 11/03/2021

Kamu Personeli Eski Eşin Maaş Sorgulaması: KVKK İhlali mi?

Q: Eş rızası yetki dışı kurumsal sorguyu meşrulaştırır mı?

Hayır. Kurumsal erişim görev ve mevzuatla sınırlıdır; kişisel rıza yetki dışı sorguyu meşrulaştıramaz.

Q: Mahkemeye bilgi paylaşımı nasıl yapılmalı?

Sadece resmî talep/usul çerçevesinde, amaçla bağlantılı asgari veri ile ve kayıt altına alınarak yapılmalıdır.

Q: Kurumsal sorumluluk nereye kadar?

KVKK m.12 uyarınca kurum, yetki dışı erişimi önleyici teknik ve idari tedbirleri almakla yükümlüdür.

İlgili kişinin maaş bilgisinin, kamu kurumu personeli olan eski eşi tarafından kurum portalı üzerinden yetki dışı sorgulanması ve mahkemeyle paylaşılması; KVKK m.4, m.5 ve m.12 kapsamında değerlendirildi.

Özet Sonuç: Disiplin işlemi + erişim kontrollerinin güçlendirilmesi (2018/63 İlke Kararı dikkate alınacak).

Teknik Görüşme Al İçindekiler

Olay neydi, nasıl gündeme geldi?

Kamu kurumu personeli (eski eş), kurum portalında TCKN ile maaş sorgulaması yaptı.
Sorgu sonucu edinilen bilgi, mahkemeyle (talep olmaksızın) paylaşıldı.
İlgili kişi, KVKK kapsamında Kurul’a şikâyette bulundu.

Kamu kurumu ve personel ne savundu?

Kurum Perspektifi

Tüm personele sınırlı portal erişimi var; rutin işler için TCKN bazlı sorgular yapılıyor.
KVKK farkındalık ve talimatlar personele defaatle iletildi.

Personel Açıklaması

“Rutin işimin parçası; eşimin bilgisi dâhilinde sorguladım.”
“Maaş bilgisini üçüncü kişilerle paylaşmadım; yazılı uyarı aldım.”

Önemli: Kurumsal sistemlerde erişim kişisel rıza ile değil, görev/amaç ve mevzuat çerçevesinde meşrulaşır.

Kurul hangi KVKK hükümlerini ihlal saydı?

m.5 — İşleme Şartı

Tanımlı hizmet/görev dışında geçerli işleme şartı yok; kişisel amaçla erişim meşru değil.

m.4 — İlkeler

Amaçla bağlantılı, sınırlı, ölçülü işleme ilkesi ihlali.

m.12 — Güvenlik

Yetki dışı erişimi önleyici teknik/idari tedbirlerin yetersizliği.

Karar & Talimat (11/03/2021 · 2021/230)

Disiplin işlemi (ilgili personel hakkında).
Erişim kontrollerinin güçlendirilmesi ve Kurul’a bilgilendirme.
2018/63 İlke Kararı gözetilerek amaç dışı erişimin önlenmesine yönelik tedbirler.

Nesil Teknoloji: Kamu kurumları için rol bazlı yetki, log/denetim, DLP ve anomali uyarıları içeren KVKK uyum paketleri.

Atölye Talep Et En Üste Dön

Kamu kurumları için 8 uyum dersi

Minimum yetki ve görev/amaç eşlemesi
Gerekçe alanı ve onay akışları
Değiştirilemez log ve periyodik denetim
Risk kuralları: akrabalık/aynı dosya/şüpheli erişim uyarıları

Mahkemeye paylaşım sadece usule uygun ve asgari veri ile
Eğitim & etik bildirimi (m.4–5–12 odaklı)
İhlal akışı: olay kaydı–disiplin–bildirim
2018/63 İlke Kararı uyum kontrol listesi

SSS – Sık Sorulan Sorular

Eş rızası yetki dışı kurumsal sorguyu meşrulaştırır mı?

Hayır. Kurumsal erişim görev ve mevzuat kapsamındadır; kişisel rıza yetki dışı sorguyu meşrulaştıramaz.

Mahkemeye bilgi paylaşımı nasıl olmalı?

Yalnızca resmî talep/usul çerçevesinde, amaçla bağlantılı asgari veri ile ve kayıt altına alınarak.

Hangi kontroller asgari gereklilik?

Rol bazlı yetki, gerekçe alanı, onay akışı, değiştirilemez log, periyodik denetim, anomali uyarıları, düzenli eğitim.

Kurumsal sorumluluk nereye kadar?

m.12 uyarınca kurum, yetki dışı erişimi önleyici teknik/idari tedbirleri kurumsal olarak tesis etmekle yükümlüdür.