---

Bir banka çalışanının eski sevgilisinin harcamalarını kontrol etmesi, bir hastane personelinin ünlü bir hastanın verilerine bakması veya bir kargo görevlisinin müşteri numarasını kişisel rehberine kaydetmesi… KVKK Kurulu, 2018/63 sayılı ilke kararı ile bu tür “yetki aşımı” durumlarında faturayı doğrudan veri sorumlusuna kesiyor.

Yetki Var, Amaç Yoksa İhlal Vardır

Kurulun bu kararı, “erişim yetkisi” ile “işleme amacı” arasındaki ince çizgiyi netleştirmiştir. Personelin sisteme giriş yetkisinin olması, her veriyi her istediği an inceleyebileceği anlamına gelmez.

Mevzuat Hatırlatması (KVKK Md. 12/1): Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemekle yükümlüdür. Bu, personelin “keyfi” sorgulamalarını engellemeyi de kapsar.

Kurul Kararının Şifreleri: Veri Sorumlusu Ne Yapmalı?

İlke kararı, personelin kişisel merak veya kötü niyetle yaptığı işlemlerin “veri sorumlusunun idari ve teknik tedbir eksikliği” olarak kabul edileceğini belirtir. Bu kapsamda şu önlemler artık bir tercih değil, yasal zorunluluktur:

• Log Yönetimi ve İzleme: Personelin hangi veriye ne zaman ve neden eriştiği mutlaka kayıt (log) altına alınmalı ve bu kayıtlar düzenli olarak analiz edilmelidir.
• Rol Bazlı Erişim (RBAC): Personel sadece görevi gereği ihtiyaç duyduğu veriye, ihtiyaç duyduğu kadar erişebilmelidir.
• Eğitim ve Taahhütname: Personelin bu eylemlerinin TCK kapsamında suç teşkil ettiği anlatılmalı, gizlilik sözleşmeleri KVKK uyumlu hale getirilmelidir.
• Disiplin Süreçleri: Yetki aşımı yapan personele yönelik yaptırımların net bir şekilde belirlenmesi gerekir.

Özgür Eralp Perspektifi: “Teknoloji Sadece Yazılım Değil, Denetimdir”

25 yıllık bilişim hukuku kariyerimde, en büyük veri sızıntılarının dışarıdan gelen hacker’lar tarafından değil, içerideki “yetkili” ancak “denetimsiz” personel tarafından yapıldığını gördüm. Bir yatırımcı ve hukukçu olarak şunu vurgulamalıyım: Yazılıma yatırım yapmak yetmez; o yazılımın içindeki insanın “merakını” dizginleyecek denetim mekanizmalarını kurmadığınız sürece KVKK karşısında savunmasızsınız demektir.

---

Sıkça Sorulan Sorular (SSS – Schema)

1. Personelimin kendi başına yaptığı bir sorgulamadan neden şirketim sorumlu?

KVKK, veri sorumlusuna “gerekli her türlü teknik ve idari tedbiri alma” yükümlülüğü yükler. Personelin yetkisini kötüye kullanabileceği öngörülmeli ve bunu engelleyecek/tespit edecek sistemler (loglama gibi) kurulmalıdır.

2. Personelime KVKK eğitimi aldırmam beni sorumluluktan kurtarır mı?

Eğitim önemli bir idari tedbirdir ancak tek başına yeterli değildir. Kurul, teknik tedbirlerin (erişim kısıtlaması, izleme) de eş zamanlı olarak alınmış olmasını şart koşar.

3. İşten ayrılan personelin yetkilerini kapatmayı unuttuk, bu bir ihlal midir?

Evet. Yetki matrisinin güncel tutulmaması ve ayrılan personelin erişiminin devam etmesi, 2018/63 sayılı karar ve Md. 12 kapsamında doğrudan bir güvenlik zafiyetidir.

4. Yetkisiz sorgulama yapan personeli işten çıkarabilir miyim?

Evet, bu durum iş sözleşmesine ve iyi niyet kurallarına aykırılık teşkil eder. Yargıtay uygulamaları da “kişisel verilerin sorgulanmasını” haklı fesih nedeni olarak kabul edebilmektedir.

5. Küçük işletmelerde herkes her veriyi görüyor, bu suç mu?

“Birlikte çalışma” gerekliliği olsa dahi, işleme amacı dışındaki erişimler risklidir. İşletme ölçeğine uygun asgari bir yetkilendirme sistemi kurulmalıdır.

---

Kaynaklar

• KVKK Kurumu – 2018/63 Sayılı İlke Kararı
• 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 12 ve 15)
• Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler)
• Türk Ceza Kanunu Madde 135-136 (Verileri Hukuka Aykırı İşleme)
• Yargıtay Hukuk Genel Kurulu Kararları (İşçi-İşveren İlişkisinde Veri Güvenliği)

---