KVKK Kurul Kararı 2020/504 Çağrı Merkezi Görüşme Kayıtları ve Transkript Talebi
Havayolu şirketleri ve benzeri yüksek hacimli müşteri etkileşimi bulunan sektörlerde, çağrı merkezi kayıtları hem müşteri deneyimi hem de uyuşmazlık yönetimi açısından kritik delil niteliği taşır. Bununla birlikte bu kayıtlar, çoğu durumda kişisel veri içerdiği için KVKK kapsamında sıkı süreçlerle yönetilmelidir.
KVKK Kurulu’nun 30/06/2020 tarihli ve 2020/504 sayılı kararı; ilgili kişinin, kendi çağrı merkezi görüşmesine ilişkin ses kaydının yazıya dökülerek (transkript) iletilmesini talep etmesi karşısında veri sorumlusunun nasıl hareket etmesi gerektiğini, KVKK m.11 erişim hakkı ile veri güvenliği yükümlülükleri arasında denge kurarak açıklamaktadır.
Olay: İlgili kişi, kendi çağrı merkezi görüşmesinin transkriptini yazılı/e-posta ile talep etti.
İlk yanıt: Veri sorumlusu, “yalnız yasal mercilere” yaklaşımıyla talebi reddetti.
Son durum: Kurul karar özetleri ışığında, maskeleme/redaksiyon uygulanarak transkript ilgili kişiye iletildi.
Kurul sonucu: Veri sorumlusu hakkında işlem tesis edilmedi; süreçlerin güncellendiği ve talebin karşılandığı dikkate alındı.
Erişim hakkı; kayıt ortamını teslim etmek değil, verinin içeriğine makul şekilde ulaşılmasını sağlamaktır.
1. Karar Ne Diyor? (Kısa Özet)
Şikâyet başvurusunda; ilgili kişi, havayolu şirketi çağrı merkezi ile yaptığı görüşmeye ilişkin ses kaydının yazıya dökülerek bir nüshasının kendisine yazılı veya e-posta yoluyla iletilmesini talep ettiğini; veri sorumlusunun ise “şirket prosedürleri gereği yalnızca yasal merciler talep ederse paylaşılabildiği” gerekçesiyle talebi reddettiğini bildirmiştir.
Veri sorumlusu savunmasında; çağrı merkezi kayıtlarının çoğu zaman yalnız ilgili kişinin verilerinden ibaret olmadığını, kayıtların operasyonel süreçler ve uçuş işlemleri nedeniyle farklı kişi/veri unsurları içerebildiğini; veri setlerinin aynen paylaşılmasının yeni veri ihlali riskleri doğurabileceğini belirtmiştir. Ancak Kurul’un daha önce yayımlanan benzer karar özeti doğrultusunda ilgili kişi ile tekrar iletişime geçilerek, gerekli maskeleme/redaksiyon tedbirleri uygulanmak suretiyle talep edilen transkriptin ilgili kişiye iletildiğini ve iç süreçlerin bu yaklaşıma göre güncellendiğini ifade etmiştir.
Kurul’un Sonucu
- İlgili kişinin talebine uygun şekilde transkriptin sonradan iletilmesi,
- İç birimlerin artık KVKK taleplerine uygun hareket etmesi yönünde bilgilendirilmesi,
- Somut olayda KVKK m.12 kapsamında veri güvenliği yükümlülüklerine aykırılık tespit edilememesi
nedenleriyle veri sorumlusu hakkında işlem bulunmadığına karar verilmiştir.
2. İlgili Kişinin Erişim Hakkı ve Transkript Talepleri
Kurul değerlendirmesinde, Anayasa m.20 ile güvence altına alınan kişisel verilerin korunması hakkının; bilgilendirilme, erişim, düzeltme ve silme gibi unsurları kapsadığına; KVKK m.11’de de ilgili kişinin veri sorumlusuna başvurarak kişisel verilerine ilişkin çeşitli haklarını kullanabileceğine vurgu yapılmıştır.
Transkript Talebi Neyi İfade Eder?
Çağrı merkezi görüşme ses kaydı, ilgili kişiyi belirlenebilir kılan unsurlar içerdiği ölçüde kişisel veri niteliği taşıyabilir. Bu nedenle ilgili kişi, KVKK m.11/1-b kapsamında “kişisel veriler işlenmişse buna ilişkin bilgi talep etme” hakkını kullanırken, pratikte bu hakkın erişim boyutunu da gündeme getirir.
Kurumsal Uygulama Açısından İpuçları
- Format seçimi: Ses kaydı yerine transkript; erişim hakkını daha kontrollü ve güvenli biçimde karşılamayı sağlayabilir.
- Kimlik doğrulama: Talep sahibinin kimliği teyit edilmeden paylaşım yapılmamalıdır.
- Üçüncü kişi verileri: Görüşmede üçüncü kişilere ilişkin bilgi geçiyorsa redaksiyon/maskeleme gerekir.
- Kanal güvenliği: E-posta ile iletimde, kurum içi güvenli gönderim prosedürleri uygulanmalıdır.
3. Kurul’un Yaklaşımı: Erişim Hakkının Sınırları ve Veri Güvenliği
Kararın en kritik bölümü, erişim hakkının kapsamına ilişkindir: Kurul; erişim hakkının, veri kayıt sisteminin/kayıt ortamının doğrudan ilgili kişiye açılması veya kayıt ortamının kendisinin teslim edilmesi anlamına gelmediğini; veri sorumlusunun veri güvenliği yükümlülükleri dikkate alınarak, ilgili kişinin verinin içeriğine makul şekilde ulaşabilmesine imkân tanınması gerektiğini belirtmiştir.
Ne Anlama Geliyor?
- “Ham veriyi ver” yaklaşımı her durumda zorunlu değildir.
- Veri sorumlusu, hem erişim hakkını hem de veri güvenliği ve üçüncü kişi verilerinin korunması yükümlülüklerini birlikte yönetmelidir.
- Bu denge, çoğu zaman redaksiyonlu transkript, maskeleme, kısmi paylaşım ve açıklayıcı özetlerle sağlanabilir.
4. Operasyonel Riskler: Üçüncü Kişi Verileri, Maskeleme ve Kayıt Ortamı
Havayolu şirketleri, çağrı merkezi kayıtlarını sıklıkla PNR/rezervasyon sistemleri, şikâyet yönetimi platformları ve operasyon ekranları gibi farklı sistemlerde tutar. Bu sistemlerin “veri seti” mantığı, tek bir kayıt içinde birden fazla kişinin verisini veya işlem yapan personel bilgilerini barındırabilir. Bu nedenle transkript paylaşımında aşağıdaki riskler öne çıkar:
Başlıca Risk Kategorileri
- Üçüncü kişi ifşası: Görüşmede başka yolcu/kişiye ilişkin veri geçmesi.
- Personel verisi: İşlem yapan çağrı merkezi görevlisine ait kimlik/ID gibi bilgilerin gereksiz ifşası.
- Operasyonel hassasiyet: Uçuş, biletleme, check-in/boarding süreçlerine ilişkin detayların kötüye kullanım riski.
- Veri setinin aynen aktarımı: Sistem çıktısının ham haliyle paylaşılması (gereksiz alanlar, meta veriler vb.).
| Risk | Olası Etki | Önerilen Kontrol |
|---|---|---|
| Üçüncü kişi verisi içerme | Yetkisiz ifşa, şikâyet ve itibar riski | Redaksiyon/maskeleme + bağlam dışı alanların çıkarılması |
| Personel bilgisi | Gereksiz veri paylaşımı | Personel ID/isim maskeleme (ihtiyaca göre) |
| Ham sistem çıktısı | Yeni ihlal riskleri | Standart “transkript formatı” + veri minimizasyonu |
| Güvensiz iletim kanalı | Veri sızıntısı | Güvenli e-posta/şifreli dosya + kimlik doğrulama |
5. Uyum Tedbirleri: Süreç, Teknik Kontroller ve Standart Yanıt Seti
2020/504 sayılı karar ışığında, çağrı merkezi kayıt talepleri için kurum içi yaklaşımın “prosedür” değil, KVKK uyumlu bir talep yönetimi çerçevesi olarak kurgulanması gerekir.
1) Süreç ve Organizasyon
- KVKK başvuru akışı: Talep alım kanalı, kimlik doğrulama, sınıflandırma, yanıt şablonları, onay mekanizması.
- Redaksiyon standardı: Hangi alanların maskeleceği, hangi durumlarda tam/kısmi paylaşım yapılacağı.
- Hukuk + operasyon koordinasyonu: Uçuş/PNR süreçleri ile çağrı merkezi kayıtlarının birlikte değerlendirilmesi.
- Kayıt altına alma: Talep tarihi, yanıt tarihi, paylaşılan içerik versiyonu ve gerekçelerin dosyalanması.
2) Teknik ve Güvenlik Kontrolleri
- Erişim yetkileri: Çağrı merkezi kayıtlarına erişim yalnız yetkili rollerle sınırlandırılmalı (asgari yetki).
- Loglama: Kim erişti, ne zaman çıkardı, hangi formatta paylaşıldı, kim redaksiyonladı kayıt altına alınmalı.
- Güvenli paylaşım: Şifreli dosya, parolanın ayrı kanal ile paylaşılması, KEP veya güvenli portal seçenekleri.
- Veri minimizasyonu: Transkript çıktısında yalnız gerekli kısımlar; meta veriler ve fazlalık alanlar kaldırılmalı.
3) Standart Yanıt Seti (Örnek Yaklaşım)
- Talebin KVKK m.11 kapsamında değerlendirildiğinin belirtilmesi,
- Üçüncü kişi verileri/operasyonel veri setleri nedeniyle redaksiyon uygulanacağı bilgisinin verilmesi,
- Transkriptin iletim yöntemi ve güvenlik adımlarının açıklanması,
- Ek talepler için başvuru kanallarının paylaşılması.
6. Sık Sorulan Sorular (SSS)
İlgili kişi, çağrı merkezi ses kaydının tamamını isteme hakkına sahip mi?
Erişim hakkı, her durumda ham kayıt ortamının veya sistem çıktısının aynen teslimini zorunlu kılmaz. Önemli olan, ilgili kişinin verinin içeriğine makul şekilde ulaşabilmesidir; bu çoğu zaman redaksiyonlu transkript ile sağlanır.
Transkript paylaşımı yapılırken neden maskeleme gerekir?
Görüşme içerikleri üçüncü kişilere ait bilgiler veya operasyonel personel verileri içerebilir. Maskeleme/redaksiyon, hem erişim hakkını karşılar hem de üçüncü kişi verilerinin korunmasını ve veri minimizasyonunu sağlar.
“Yalnız yasal merciler talep edebilir” yaklaşımı doğru mu?
Tek başına yeterli değildir. KVKK m.11 kapsamındaki başvurular, veri sorumlusunun KVKK başvuru prosedürü çerçevesinde değerlendirilmelidir. Gerekirse redaksiyon uygulanarak ilgili kişiye içerik sağlanabilir.
Transkript hangi kanaldan iletilmeli?
Kurumun güvenlik politikalarına uygun güvenli kanallar tercih edilmelidir. E-posta ile iletim yapılacaksa şifreli dosya ve ayrı kanaldan parola paylaşımı gibi tedbirler uygulanmalıdır.
Bu karar veri sorumlularına ne mesaj veriyor?
İlgili kişi taleplerinde doğru yaklaşım; güvenlik gerekçesiyle kategorik ret değil, güvenli paylaşım modelini tasarlamak ve süreci KVKK’ya uygun şekilde standardize etmektir.
Kurumsal olarak nereden başlanmalı?
KVKK başvuru prosedürünün güncellenmesi, transkript/redaksiyon standardının yazılı hale getirilmesi, çağrı merkezi kayıt sistemlerinde erişim ve log kontrollerinin güçlendirilmesi ve ilgili birimlerin eğitimlerle bilgilendirilmesi ile başlanması önerilir.
