Kişisel Verileri Koruma Kurulu (“Kurul”), veri sorumlusu bir şirkette çalışan ilgili kişinin (“İlgili Kişi”) yemek kartı hesap hareketlerine ilişkin kişisel verilerine erişim talebinin, işvereni olan veri sorumlusu (“Veri Sorumlusu”) tarafından yerine getirilmemesi hakkında 06.05.2021 tarihli ve 2021/470 sayılı kararı (“Karar”) verdi.
Karar uyarınca, İlgili Kişi kendisine Veri Sorumlusu tarafından tahsis edilen yemek kartına ait hesap hareketlerinin tarafına iletilmesini Veri Sorumlusundan talep etmiştir. Veri Sorumlusu, talep edilen bilgiyi İlgili Kişiye sağlamak için İlgili Kişinin kimliğinin doğrulanması amacıyla birtakım bilgiler talep etmiştir. Veri Sorumlusu, İlgili Kişinin kişisel verilerini altyapısı yurtdışında olan gmail.com uzantılı e-mail adresine gönderilmesini talep etmesi nedeniyle bir risk değerlendirmesi yaparak, ilave güvenlik önlemleri çerçevesinde, İlgili Kişiye söz konusu verilere erişebilmesi için @gmail.com uzantılı e-mail adresine iletilen telefon numarasını araması gerektiğini belirtmiştir. İlgili Kişi, getirilen ilave güvenlik önleminin hukuka aykırı olduğu ve kişisel verilerine ulaşımının engellendiği gerekçesiyle Kişisel Verileri Koruma Kurumuna (“Kurum”) şikâyet başvurusunda (“Şikayet”) bulunmuştur.
Kurul, Kuruma ulaşan Şikâyete ilişkin olarak
- 6698 sayılı Kişisel Verileri Koruma Kanunu’nun (“KVKK”) maddesi çerçevesinde İlgili Kişinin kendisiyle ilgili kişisel veriler ile ilgili bilgi talep etme ve kişisel verilere erişim hakkı olduğunu, bu hakların İlgili Kişinin kişisel verilerinin ne şekilde işlendiğine dair bilgi sahibi olmasına imkan sağladığını;
- KVKK’nın 12. maddesi uyarınca Veri Sorumlusunun kişisel verilerin hukuka aykırı işlenmesini ve kişisel verilere hukuka aykırı erişimi önlemek ile kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunu;
- Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ (“Tebliğ”) kapsamında, Veri Sorumlusunun İlgili Kişi tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kurallarına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri almakla yükümlü olduğunu;
- Kişisel Veri Güvenliği Rehberi’nde yer alan teknik ve idari tedbirler çerçevesinde, Veri Sorumlusunun kişisel verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığını ve gerçekleşmesi durumunda yol açacağı kayıpları doğru şekilde belirleyerek buna uygun tedbirleri alması gerektiğini,
- Veri Sorumlusunun, İlgili Kişinin kişisel verilerine erişimini engellememekle birlikte, İlgili Kişi tarafından talep edilen dosyayı İlgili Kişi için orantısız bir külfete yol açmayacak şekilde şifreli olarak e-mail adresine gönderdiğini, bu şifrenin ise e-mailde yer alan telefon numarası ile arandığında İlgili Kişiyle derhal paylaşılacağını belirttiğini;
- Kurulun 31.05.2019 tarihli ve 2019/157 sayılı Kararında belirttiği üzere, alt yapısı yurt dışında olan g-mail.com uzantılı e- mail hizmetinin kullanılması durumunda, Veri Sorumlusunun kişisel verileri içeren dosyayı şifreleyerek göndermesinin veri güvenliğini üst düzeyde sağlamak amacını taşıdığını ve
- KVKK’nın 12. maddesi gereğince, Veri Sorumlusu tarafından İlgili Kişinin kişisel verilerine hukuka aykırı olarak erişilmesini önlemek amacıyla alınan bu ilave güvenlik önlemlerinin KVKK’ya aykırılık değil, KVKK’nın titizlik ile uygulanması olduğunu
değerlendirmiştir.
Kurul yaptığı değerlendirmeler ışığında, KVKK’nın 12. maddesinin 1. fıkrasının (b) bendi gereğince, Veri Sorumlusu tarafından alınan tedbirlerin kişisel verilere hukuka aykırı olarak erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri alma yükümlülüğünü yerine getirmek adına makul bir tedbir olduğuna; alınan güvenlik tedbirine ilişkin gerekli açıklamanın İlgili Kişiye yapıldığına, dolayısıyla İlgili Kişinin kişisel verilere erişim hakkının engellenmediğine; bu doğrultuda Veri Sorumlusu hakkında KVKK kapsamında yapılacak işlem bulunmadığına karar vermiştir.
Kararın tam metnine aşağıdaki linkten ulaşabilirsiniz.
