Hastanede check-up yaptırırken yan masadaki hastanın teşhisini duymak veya banka gişesinde yanınızdaki kişinin telefon numarasını öğrenmek artık sadece bir “nezaket” meselesi değil, ağır bir hukuki ihlaldir. KVKK Kurulu, 2017/62 sayılı ilke kararı ile kamu ve özel sektördeki fiziksel hizmet alanlarına dair çok net sınırlar çizdi.

“Bitişik Düzen” Hizmetlerde Veri Sızıntısı Riski

Özellikle bankacılık, sağlık, kargo ve kamu hizmeti sunan alanlarda, bankoların birbirine yakın olması kişisel verilerin korunması önünde büyük bir engel teşkil ediyordu. KVKK Kurulu, bu “bitişik düzenin” veri güvenliğini tehlikeye attığını tespit ederek tüm kurumları uyardı.

Mevzuat Vurgusu (KVKK Md. 12): “Veri sorumlusu, kişisel verilerin hukuka aykırı olarak erişilmesini önlemek ve muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik her türlü teknik ve idari tedbirleri almak zorundadır.”

Kararın Kapsamı: Kimler Risk Altında?

Bu ilke kararı sadece bankaları değil, vatandaşa temas eden her türlü gişe hizmetini kapsıyor:

• Sağlık Kurumları: Hasta kayıt masaları.
• Posta ve Kargo: Gönderici/alıcı bilgilerinin paylaşıldığı alanlar.
• Belediyeler ve Vergi Daireleri: Nüfus ve borç işlemlerinin yapıldığı masalar.
• Zincir Mağazalar: Müşteri hizmetleri ve iade bölümleri.

Kurul Ne İstiyor? (Teknik ve İdari Tedbirler)

Kurul, sadece “dikkatli olun” demiyor; fiziksel mimarinin ve işleyişin değiştirilmesini emrediyor:

1. Yetkisiz Erişimi Engelleme: Banko arkasında yetkisi olmayan personelin veya üçüncü kişilerin bulunması yasaktır.
2. Akustik ve Görsel Yalıtım: Yan masada hizmet alan kişinin, diğer kişinin verilerini duymasını, görmesini veya ele geçirmesini engelleyecek düzenlemeler (cam bölmeler, akustik paneller, güvenli mesafe çizgileri) yapılmalıdır.
3. Yaptırım: Bu ilke kararına uymayan kurumlar hakkında, KVKK Madde 18 kapsamında ağır idari para cezaları uygulanacaktır.

Özgür Eralp Perspektifi: “Fiziksel Güvenlik Dijital Güvenliğin Kapısıdır”

25 yıllık bilişim hukuku tecrübemizde gördük ki; siber saldırılarla çalınamayan veriler, bazen bir gişe memurunun yüksek sesle telefon numarasını tekrarlamasıyla “sosyal mühendislik” saldırılarına kapı aralamaktadır. Bir teknoloji yatırımcısı veya işletmeci için bu karar, sadece bir engel değil; müşteri güvenini inşa edecek bir “servis kalitesi standardı” olarak görülmelidir.

---

Sıkça Sorulan Sorular

1. Bankada sıra beklerken diğer müşterinin bilgilerini duymam suç mu?

Sizin duymanız kasıtlı değilse suç olmayabilir ancak bankanın bunu engellememesi KVKK 2017/62 ilke kararı uyarınca bir ihlaldir ve banka sorumlu tutulur.

2. Hastanelerde hasta mahremiyeti için bankolara cam bölme yapılması zorunlu mu?

Karar spesifik bir yöntem (cam, panel vb.) dayatmaz; ancak sonucun “duymayı ve görmeyi engellemesi” gerektiğini belirtir. Bu sonucu sağlayan her türlü teknik tedbir kabul edilebilir.

3. Kargo şubelerinde telefon numaramı yüksek sesle söylemek istemiyorum, hakkım var mı?

Evet. İlgili kurum, verinizi diğer müşterilerin duymayacağı şekilde (örneğin bir pad üzerine yazarak veya ekran üzerinden onaylatarak) alma yöntemini geliştirmekle yükümlüdür.

4. Bu karara uymayan bir kurumu nereye şikayet edebilirim?

Öncelikle veri sorumlusu kuruma başvurup ihlalin giderilmesini talep etmelisiniz. Sonuç alamazsanız KVKK Kurumu’na şikayette bulunabilirsiniz.

5. Küçük esnaflar veya tek masalı ofisler de bu kapsama girer mi?

Evet. Veri sorumlusu sıfatı olan her işletme, hizmet verdiği alanın mahremiyetini sağlamak zorundadır.

---

Kaynaklar

• KVKK Kurumu – 2017/62 Sayılı İlke Kararı
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu
• Bankacılık Kanunu ve Müşteri Sırrı Yönetmeliği
• Sağlık Bakanlığı Hasta Hakları Yönetmeliği
• Resmi Gazete Arşivi

---