Şirket Sözleşmesine Yanlışlıkla Yazılan Ev Adresi: Veri İhlali Kararı
Kişisel Verileri Koruma Kurulu, 2 Ağustos 2018 tarihli duyurusu ile teknik bir hata gibi görünen ancak bireyin mahremiyetini ciddi şekilde ihlal eden bir “adres karmaşasını” karara bağlamıştır. Bu karar, operasyonel süreçlerdeki dikkatsizliğin nasıl bir veri güvenliği ihlaline dönüştüğünü göstermektedir.
1. Olayın Özeti: Kurumsal Sözleşmede Bireysel Adres İfşası
Olay: Bir veri sorumlusu, bir şirketin çalışanlarına e-posta yoluyla çeşitli sözleşme örnekleri göndermiştir. Ancak bu sözleşme taslaklarında, “işveren iletişim adresi” kısmına şirketin resmi adresi yazılması gerekirken, süreçten sorumlu olan çalışanın (ilgili kişinin) açık ev adresi yazılmıştır.
Bu sözleşme örnekleri şirketteki birçok çalışana ulaştığı için, ilgili kişinin mahrem ev adresi bilgisi yetkisiz kişilerle paylaşılmış olmuştur.
2. Kurulun Hukuki Değerlendirmesi: “Hata” Veri İhlalini Haklı Çıkarmaz
Kurul, bu hatayı şu hukuki çerçevede ele almıştır:
- İşleme Şartı Yokluğu (Md. 5): Bir kişinin ev adresinin, kurumsal bir sözleşmede “işveren adresi” olarak kullanılması ve üçüncü kişilere (çalışanlara) gönderilmesi için Kanun’un 5. maddesinde sayılan hiçbir hukuki sebep (açık rıza, sözleşmenin ifası, kanunlarda öngörülme vb.) bulunmamaktadır.
- Veri Güvenliği Yükümlülüğü (Md. 12): Veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek ve muhafazasını sağlamak amacıyla gerekli teknik ve idari tedbirleri almakla yükümlüdür. Şirket adresinin yerine ev adresinin yazılması, veri sorumlusunun denetim ve kontrol mekanizmalarının (idari tedbirlerin) yetersiz olduğunu kanıtlamaktadır.
3. Karar Sonucu: İdari Para Cezası
Kurul, veri güvenliğini sağlayamayan ve kişisel verileri hukuka aykırı şekilde paylaşan veri sorumlusu hakkında KVKK Madde 18 uyarınca idari para cezası uygulanmasına karar vermiştir.
4. Özgür Eralp Perspektifi: “Taslak Metinler En Büyük Sızıntı Kaynağıdır”
Bilişim hukuku dünyasında “kopyala-yapıştır” kültürü maalesef bu tür ağır sonuçlara yol açabiliyor. Bir çalışanın iletişim için kullandığı bilgilerin, kurumsal şablonlara (template) girmesi ve kontrol edilmeden toplu olarak yayılması, KVKK nezdinde “sehven yapıldı” denilerek geçiştirilebilecek bir durum değildir.
Bir yatırımcı avukat vizyonuyla uyarım şudur: Şirketler, özellikle çalışanlarına veya müşterilerine gönderecekleri standart form ve sözleşmeleri sisteme yüklemeden önce “veri temizliği” (data scrubbing) sürecinden geçirmelidir. İlgili kişinin ev adresi, onun en mahrem “fiziksel güvenlik” bilgisidir. Bu bilginin iş yerindeki onlarca kişiye dağıtılması, kişiyi sadece hukuki değil, güvenlik açısından da riske atar. Şirket içi denetimlerde, matbu evraklardaki adres ve iletişim bilgilerinin güncelliği ve doğruluğu periyodik olarak kontrol edilmelidir.
Sıkça Sorulan Sorular
1. Şirketim ev adresimi iş arkadaşlarıma e-posta ile gönderirse bu bir suç mudur?
Hukuki olarak bu bir KVKK ihlalidir ve idari para cezası gerektirir. Eğer bu eylem kasten ve kişiyi mağdur etmek amacıyla yapıldıysa Türk Ceza Kanunu kapsamında “Kişisel Verileri Hukuka Aykırı Yayma” suçunu da oluşturabilir.
2. “Yanlışlıkla yazdık” savunması şirketi kurtarır mı?
Hayır. KVKK, veri sorumlusuna “uygun güvenlik düzeyini temin etme” yükümlülüğü yükler. Hatalar, idari tedbirlerin eksik olduğunu gösterir ve ceza miktarını etkilese de sorumluluğu ortadan kaldırmaz.
3. İşverenim iletişim için ev adresimi isteyebilir mi?
Evet, özlük dosyasında bulunması veya acil durumlarda ulaşılması için ev adresiniz işlenebilir. Ancak bu verinin “iletişim adresi” adı altında sözleşme taslaklarıyla tüm personele yayılması hukuka aykırıdır.
4. Böyle bir durumda çalışan (mağdur) ne yapmalı?
Öncelikle şirkete başvurarak verinin derhal imha edilmesini ve kimlere ulaştığının açıklanmasını talep etmelidir. Tatmin edici cevap alınamazsa Kişisel Verileri Koruma Kurulu’na şikayette bulunulabilir ve tazminat davası açılabilir.
5. Şablon belgelerde kişisel veri sızıntısını önlemek için ne yapılmalı?
Şablon belgelerde isim, adres, telefon gibi alanlar mutlaka boş bırakılmalı veya [ŞİRKET ADRESİ GELECEK] gibi uyarıcı etiketlerle doldurulmalıdır. Belgeler yayımlanmadan önce bir “KVKK denetçisi” veya hukuk birimi tarafından onaylanmalıdır.
Kaynaklar
- KVKK Kurumu Duyurusu – 2 Ağustos 2018
- 6698 Sayılı KVKK (Madde 5, 12 ve 18)
- Kişisel Veri Güvenliği Rehberi
Etiketler
#KVKK, #VeriGüvenliği, #İdariParaCezası, #KişiselVeriİhlali, #EvAdresiİfşası, #VeriSorumlusu, #BilişimHukuku, #ÖzgürEralp, #HukukiYükümlülük, #VeriİşlemeŞartları, #İşverenSorumluluğu, #MahremiyetHakları
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),