EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2023/1430

2023/1430

17/08/2023

Konu: Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi

Kararı Paylaşın

Karar Özeti:

Yemek kartı hizmeti veren bir şirketin mobil uygulamasında fiziki yemek kartını kaydetmek istediğinde TC kimlik no ile doğrulama yapılması zorunlu tutulması üzerine Kuruma bir şikayet iletilmiştir. Yapılan inceleme üzerine veri sorumlusundan cevap istenmiş. Cevapta; mobil kartlar için telefon numarası ile doğrulama yapılabildiğini ancak fiziki kartların uygulamaya eklenmesi gerektiği zaman müşterilerin güvenliği ve müşteri tanıma protokollerinin işletilebilmesi için TC kimlik no istendiği belirtilmiştir. Kurum incelemesinde her ne kadar genel nitelikli kişisel verilerinden olsa da TCKN telefon numarası ve diğer doğrulama bilgilerinden daha olduğu için bu işlemin daha düşük seviye veriler ile de yapılabileceğine karar vermiştir. 5 maddedeki hükümlere aykırılık tespit ederek 12. madde hükümlerince veri güvenliğinin tehlikeye düştüğünü söylemiştir.

Ceza: 200.000 TL idari para cezası verilmiştir.

Kuruma intikal eden ihbarda, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi üzerine konu hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından resen inceleme başlatılmıştır. Mobil uygulama üzerinde yapılan incelemede, mobil uygulamaya kayıt olurken isim, soy isim, telefon numarası, doğum tarihi, e-posta bilgilerinin talep edildiği; kişi profiline yemek kartı tanımlanmak istediğinde ise girilen bilgilerin T.C. kimlik numarası ile karşılaştırılacağının belirtildiği tespit edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

  • Çalışanların, işverenlerinin kendilerine sağladığı yemek kartlarını kullanarak yemek harcamalarını gerçekleştirebildiği, yemek kartlarının mobil yemek kartı ve fiziki yemek kartı olmak üzere ikiye ayrıldığı ve işverenin bu kartlardan dilediğini tercih edip çalışanlarına kullandırabildiği,
  • Mobil yemek kartları verilirken çalışan ilgili kişilerin telefon numarası verileri, işveren aracılığıyla taraflarınca işlendiği için uygulamada telefon numarası ile doğrulama yapılarak ilgili kişilerin T.C. kimlik numarasının istenmediği,
  • Fiziki yemek kartlarının kullanılması için uygulamaya kayıtlı olunması gerekmediği ve bu kartların anonim olarak fiziki ödeme yöntemi ile kullanılabildiği, ancak çalışan fiziki yemek kartını mobil uygulamaya tanımlayarak mobil ödeme özelliğinden faydalanmak isterse, fiziki yemek kartları verilirken çalışanlara ait herhangi bir veri taraflarınca işlenmediği için uygulamada çalışanın doğrulanması ve güvenlik amacıyla T.C. kimlik numarasının istendiği ve girilen bilgilerin T.C. kimlik numarası ile doğrulandığı

ifade edilmiştir.

  • Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 sayılı Kararı ile;
  • Telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almakla birlikte, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler için daha büyük zararlara yol açabileceği gözetildiğinde; ilgili kişilerin menfaatlerinin korunması için çalışan tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası gibi bilgilerle sağlanması için yapılacak düzenlemelerin tasarımda mahremiyet, veri minimizasyonu ve kişisel verilerin amaca uygun ve ölçülü işlenmesi ilkelerine uygun olacağı

değerlendirmelerinden hareketle,

  • Fiziksel yemek kartlarının mobil uygulamada kayıt altına alınması halinde kartın doğrulanması işleminin kişilerin T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğundan, T.C. kimlik numarası verisinin işlenmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesindeki hukuki sebeplere dayanmaksızın yapıldığı ve Kanun’un 4’üncü maddesindeki kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğu değerlendirildiğinden Kanun’un 12’nci maddesinin birinci fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına,
  • Telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almakla birlikte, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler açısından daha büyük zarara yol açacağı gözetildiğinde; ilgili kişilerin menfaatlerinin korunması için çalışan tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası bilgisiyle yapılması gibi yöntemlerle sağlanarak T.C. kimlik numarasının işlenmemesi için gerekli teknik ve idari tedbirleri alması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • İşlenmesini gerektiren hukuki sebebi olmayan T.C. kimlik numaralarının Kanun’un 7’nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun bir biçimde imha edilmesi, imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Kararı Paylaşın

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?