Banka personelinin görev yetkisiyle eriştiği veriyi kişisel amaçla kullanması KVKK ihlali midir?

Evet. Kurul’un yaklaşımına göre, pozisyonu gereği kişisel verilere erişim yetkisi bulunan personelin yetkisini aşarak veya kötüye kullanarak kişisel amaçlarla veri işlemesi/üçüncü kişilerle paylaşması, KVKK m.12/1 kapsamında veri güvenliği tedbirlerinin yetersizliği olarak değerlendirilebilir.

“İçeriden yetkisiz erişim” veri ihlali bildirimi gerektirir mi?

Gerektirebilir. Kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde KVKK m.12/5 uyarınca ilgili kişiye ve Kurula bildirim yapılmalıdır. Kurul’un 2019/10 sayılı kararında “en kısa sürede” ifadesi 72 saat olarak yorumlanmıştır.

Kurul bu tür olaylarda bankadan ne bekler?

Sadece politika beyanı değil; erişim yetkisi yönetimi, loglama/izleme, uyarı ve anomali tespiti, rol bazlı kısıt, görev ayrılığı, disiplin süreçleri, düzenli denetim ve eğitimlerin tevsik edici belgelerle sunulmasını bekler.

KVKK Karar Özeti 2021/32: Banka Personelinin Yetkisini Kötüye Kullanarak Veri Sorgulaması

KVKK Karar Özeti · 2021/32 · Banka · İçeriden Yetkisiz Erişim · İhlal Bildirimi (72 Saat) · TCK 136

KVKK 2021/32 Kararı İlgili Kişinin Verilerinin Bilgisi Dışında Banka Nezdinde Sorgulanması

Karar Tarihi: 12/01/2021 · Karar No: 2021/32 · Konu: Banka çalışanının (eş) görev yetkisini aşarak ilgili kişinin kimlik, müşteri işlem ve finansal verilerini bilgisi dışında sorgulaması ve bu bilgileri mahkemeye sunması iddiası.

Olay Özeti Kurul Değerlendirmesi Uyum Yol Haritası

İçindekiler 1. Şikâyet ve Olayın Özeti 2. Bankanın Savunması 3. İlgili Mevzuat ve Kurul Yaklaşımı 4. Kurul Değerlendirmesi 5. Karar ve Sonuç 6. Bankalar İçin Uyum Kontrol Listesi 7. SSS 8. Kaynak

Hızlı Sonuç

Kurul; banka personelinin ilgili kişinin verilerini işleme amacı dışında sorgulayıp mahkemeye sunmasını, “içeriden yetki kötüye kullanımı” kapsamında değerlendirerek bankanın KVKK m.12/1 tedbirlerini yeterli bulmamış; ayrıca bankanın olayı öğrenmesine rağmen KVKK m.12/5 kapsamında ilgili kişiye ve Kurula bildirim yapmamasını ayrı bir uyumsuzluk olarak ele almıştır. Sonuçta idari yaptırım, tevsik edici belgelerin sunulması talimatı ve TCK 136 perspektifiyle bilgilendirme gündeme gelmiştir.

KVKK m.12 2018/63 İlke Kararı 2019/10 – 72 Saat İçeriden Risk Finansal Veri

Kritik çıkarım: “Personelin yetkisi vardı” savunması, tek başına koruma sağlamaz. Kurul, yetkinin amaç dışı kullanımını önleyecek mekanizmalar (rol bazlı kısıt, izleme, alarm, denetim, disiplin) beklemektedir.

1. Şikâyet ve Olayın Özeti

Vekil aracılığıyla yapılan şikâyette; ilgili kişinin, veri sorumlusu bankada müdür yardımcısı olarak çalışan eşiyle boşanma davası süreci bulunduğu, bu süreçte banka aracılığıyla ilgili kişiye ait bazı kişisel veri niteliğindeki bilgilerin bilgisi ve rızası dışında sorgulandığı ve dava dosyasına sunulduğu ileri sürülmüştür.

İddia edilen sorgu/çıktı türleri:

Geçmiş yıllara ilişkin karşılıksız çek bilgileri
İlgili kişi hakkında tedbir kararları bilgileri
Kimlik, müşteri işlem ve finansal nitelikte bilgiler

Şikâyet dilekçesinde, bu bilgilerin ancak ilgili kişinin izin/onayı dâhilinde sorgulanabileceği, kişisel çıkar amacıyla mahkemeye sunulmak suretiyle paylaşıldığı ve özel hayatın gizliliğinin ihlal edildiği belirtilmiş; ayrıca bankaya yapılan iadeli taahhütlü başvuruya 30 günlük süre içinde cevap verilmediği ileri sürülmüştür.

2. Bankanın Savunması

Banka, başvuru üzerine ilgili birim tarafından inceleme yapıldığını ve şube operasyon yetkilisinin (diğer eşin) ilgili kişinin istihbarat sorgusunu yaptığı ve sonuçlarını ilgili kişinin bilgisi/isteği dışında mahkemeye sunduğunun tespit edildiğini belirtmiştir.

İnceleme başlatıldığı, ilgili kişinin avukatıyla iletişime geçildiği
İnsan Kaynakları uygulama esaslarında yer alan “sırları açığa vurma” benzeri disiplin maddelerine temas ettiği
Somut olayda personele mektupla uyarı (dikkat çekme) yapıldığı ve başvurunun yanıtlandığı
Kişisel verilerin hukuka uygun işlendiği, gerekli teknik-idari tedbirlerin alındığı (ancak tevsik edici belgeler sunulmadığı iddiası)
Personelin görev yetkisi bulunduğu, bankanın objektif olarak alabileceği başka bir önlem bulunmadığı

Uygulama açısından uyarı: Kurul değerlendirmelerinde, “objektif önlem yoktu” yaklaşımı çoğu zaman yeterli görülmez; özellikle bankacılık gibi yüksek hacimli ve hassas veri işleyen sektörlerde içeriden risk senaryolarına uygun “ölçülebilir kontroller” aranır.

3. İlgili Mevzuat ve Kurul Yaklaşımı

Karar; KVKK’nın genel ilkeleri, işleme şartları ve veri güvenliği yükümlülükleri yanında, Kurulun içeriden yetkisiz kullanım konusundaki ilke yaklaşımına da dayanır.

Düzenleme / Karar	Başlık	Somut Olaydaki Rolü
KVKK m.4	Genel İlkeler	Hukuka uygunluk, amaçla bağlantılılık, sınırlı-ölçülü işleme, saklama süresi ilkeleri.
KVKK m.5	İşleme Şartları	Açık rıza kuralı ve istisnalar; ancak “amaç dışı kullanım”ı meşrulaştırmaz.
KVKK m.12/1	Tedbir Yükümlülüğü	Yetkisiz/amaç dışı işlemeyi ve erişimi önleyecek teknik-idari tedbirler.
KVKK m.12/5	Veri İhlali Bildirimi	Kanuni olmayan yollarla elde edilme durumunda ilgili kişi ve Kurula bildirim.
Kurul 2018/63	İçeriden Yetki Kötüye Kullanımı	Erişim yetkisi olan personelin amaç dışı işlemesi/paylaşması m.12/1 kapsamında ihlal göstergesidir.
Kurul 2019/10	“En kısa sürede” = 72 saat	İhlali öğrenme tarihinden itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirim yaklaşımı.
TCK m.136	Verileri Hukuka Aykırı Verme/Ele Geçirme	Ceza hukuku yönü; Kurul kararlarında sıklıkla işaret edilen suç tipi.

Öne çıkan risk: Banka personelinin görev yetkisiyle eriştiği veriyi, “müşteri hizmeti/sözleşme” amacı dışında kişisel menfaat için kullanması, klasik “insider threat” senaryosudur ve teknik-idari kontroller bu senaryoya göre tasarlanmalıdır.

4. Kurulun Değerlendirmesi

Kurul; somut olayda ilgili kişinin verilerinin banka çalışanı olan diğer eş tarafından sorgulandığı ve dava dosyasına sunulduğu iddiasının, bankanın iç incelemesi sonucunda kabul edildiğini; bankanın personel hakkında disiplin kapsamında yalnızca “mektupla dikkat çekme” yoluna gittiğini değerlendirmiştir.

m.12/1 – Tedbir eksikliği göstergesi Erişim yetkisi olan personelin “amaç dışı” veri işlemesi ve paylaşması, Kurul’un 2018/63 yaklaşımı uyarınca veri güvenliği tedbirlerinin yeterli olmadığına işaret edebilir.

Tevsik sorunu Banka, politika ve eğitimlerden bahsetse de; bunları doğrulayan belgeleri (eğitim kayıtları, denetim raporları, erişim logları, rol matrisi, disiplin tutanakları vb.) Kuruma sunmadığı değerlendirilmiştir.

m.12/5 – Bildirim yapılmaması İhlalden haberdar olunmasına rağmen ilgili kişiye ve Kurula veri ihlali bildirimi yapılmadığı, 2019/10 kararındaki 72 saat yaklaşımıyla birlikte ele alınmıştır.

Kilit mesaj: “Yetkisi vardı” savunması, “amaç dışı kullanım”ı ortadan kaldırmaz. Banka, içeriden suiistimali azaltacak şekilde en az ayrıcalık (least privilege), görev ayrılığı, log & alarm ve disiplin/denetim mekanizmalarını somut delillerle gösterebilmelidir.

5. Karar ve Sonuç

Başlık	Kurul Sonucu
İdari yaptırım	Banka personelinin amaç dışı sorgu ve paylaşımı nedeniyle, KVKK m.12/1 kapsamında gerekli teknik-idari tedbirlerin alınmadığı göstergesi kabul edilerek veri sorumlusu hakkında idari yaptırım uygulanmasına karar verilmiştir.
Tevsik edici belgelerin sunulması	Bankanın veri güvenliği tedbirlerini aldığına ilişkin tevsik edici belgeleri Kuruma iletmesi yönünde talimat verilmiştir.
İhlal bildirimi hatırlatması	KVKK m.12/5 uyarınca, kanuni olmayan yollarla elde edilme halinde ilgili kişiye ve Kurula bildirim yapılması gerektiği hususunda hatırlatma yapılmıştır.
TCK 136 yönü	Verileri sorgulayıp mahkemeye sunan personel hakkında, TCK m.136 kapsamında gerekli hukuki işlemler için Cumhuriyet Başsavcılığına bildirim yapılabileceği yönünde ilgili kişinin bilgilendirilmesine karar verilmiştir.

Özellikle bankalar için ders: “Mahkemeye sunma” gibi görünürde “resmi süreç” argümanı, veriye erişimin hukuki kanalı (mahkeme müzekkeresi/kurumsal cevap) varken personelin kişisel amaçla sorgu yapmasını meşrulaştırmaz. Kurul, kurum içi süreçlerin bu ayrımı net şekilde uygulamasını bekler.

6. Bankalar İçin Uyum Kontrol Listesi: İçeriden Yetkisiz Sorgu Nasıl Önlenir?

Aşağıdaki maddeler, 2021/32 kararındaki tipik “insider misuse” senaryosuna göre hazırlanmıştır.

6.1. Erişim Yetkisi Tasarımı

Rol bazlı erişim (RBAC): Çek/tedbir/istihbarat sorguları gibi modülleri yalnızca ihtiyacı olan rollere açın.
En az ayrıcalık: Müdür yardımcısı/operasyon gibi unvanlara “genel erişim” vermeyin; iş gerekçesi + onay mekanizması ekleyin.
Görev ayrılığı: Sorgulama + çıktı alma + dışa aktarma/raporlama adımlarını farklı rollere bölün.

6.2. İzleme, Log ve Alarm

Detaylı loglama: Kim, hangi müşteri için, hangi ekrandan, hangi saatte sorgu yaptı?
Anomali tespiti: Aynı soyad/aynı aile ilişkisi olabilecek müşterilere erişim, mesai dışı yoğun sorgu vb. için alarm üretin.
Çıktı kontrolü: PDF/print/export gibi çıktı kanallarını kayıt altına alın; hassas çıktılarda ikinci onay gerektirin.

6.3. İdari Tedbirler ve Disiplin

Net politika: “Amaç dışı sorgu”nun ağır ihlal olduğu açıkça yazılsın; örnek senaryolarla anlatılsın.
Delil üretilebilir eğitim: Eğitim katılım listeleri, sınav sonuçları, periyodik tekrarlar ve farkındalık ölçümü.
Etkin disiplin: Sadece “mektup” yerine ihlalin ağırlığıyla uyumlu yaptırım, kayıt ve tekrar önleme planı.

6.4. Veri İhlali Yönetimi (72 Saat)

Triyaj: Olayın kapsamı, etkilenen veri türleri, etkilenen kişi sayısı ve risk seviyesi hızla belirlenmeli.
Bildirim kararı: KVKK m.12/5 ve 72 saat yaklaşımı çerçevesinde Kurul/ilgili kişi bildirimleri planlanmalı.
Kanıt paketleme: Loglar, ekran kayıtları, erişim raporları, disiplin süreci ve alınan önlemler tek dosyada toparlanmalı.

Altın kural: İçeriden yetkisiz sorgu vakalarında “önlenemezdi” demek yerine, önleyici (kısıt) + tespit edici (alarm) + caydırıcı (disiplin) üçlüsünü birlikte tasarlayın.

7. Sık Sorulan Sorular

İlgili kişi bankaya başvurduğunda 30 gün içinde yanıt verilmemesi ne doğurur?

Başvuruların süresi içinde ve usulüne uygun yanıtlanması, veri sorumlusu sorumluluğunun önemli bir parçasıdır. Süre aşımı, uyum kültürü ve süreç olgunluğu açısından ek risk yaratır; ayrıca idari değerlendirmelerde olumsuz etki doğurabilir.

Mahkeme dosyasına sunma “hukuki amaç” sayılmaz mı?

Mahkemenin veriye erişmek istemesi halinde, bunu kurumsal kanallardan (müzekkere/kurumsal yanıt) talep etmesi mümkündür. Personelin kişisel amaçla sorgu yaparak mahkemeye sunması, “amaç dışı kullanım” riskini ortadan kaldırmaz.

Bankanın hangi belgeleri hazır tutması gerekir?

Erişim yetki matrisi, log politikası, denetim raporları, eğitim kayıtları, olay müdahale prosedürü, disiplin süreç kayıtları ve teknik tedbir kanıtları (alarm ekranları, DLP/UEBA raporları vb.) Kurul nezdinde “tevsik” için kritik dokümanlardır.

8. Kaynak

KVKK – 2021/32 içerik sayfası: https://www.kvkk.gov.tr/Icerik/7107/2021-32

SEO notu: “2021/32”, “banka personeli yetkisiz sorgu”, “içeriden erişim”, “KVKK m.12”, “72 saat ihlal bildirimi”, “2018/63 ilke kararı”, “TCK 136” anahtar kelimeleri metin içinde doğal biçimde konumlandırılmıştır.

KVKK 2021/32 Kararı İlgili Kişinin Verilerinin Bilgisi Dışında Banka Nezdinde Sorgulanması

1. Şikâyet ve Olayın Özeti

2. Bankanın Savunması

3. İlgili Mevzuat ve Kurul Yaklaşımı

4. Kurulun Değerlendirmesi

5. Karar ve Sonuç

6. Bankalar İçin Uyum Kontrol Listesi: İçeriden Yetkisiz Sorgu Nasıl Önlenir?

6.1. Erişim Yetkisi Tasarımı

6.2. İzleme, Log ve Alarm

6.3. İdari Tedbirler ve Disiplin

6.4. Veri İhlali Yönetimi (72 Saat)

7. Sık Sorulan Sorular

İlgili kişi bankaya başvurduğunda 30 gün içinde yanıt verilmemesi ne doğurur?

Mahkeme dosyasına sunma “hukuki amaç” sayılmaz mı?

Bankanın hangi belgeleri hazır tutması gerekir?

8. Kaynak

Author: Nisa Orman

Related Posts