Kişisel Verileri Koruma Kurulu’nun 17.08.2023 tarihli ve 2023/1430 sayılı Yemek Kartı Uygulamasında T.C.K.N. İstenilmesine İlişkin Kararı

25 Nis Kişisel Verileri Koruma Kurulu’nun 17.08.2023 tarihli ve 2023/1430 sayılı Yemek Kartı Uygulamasında T.C.K.N. İstenilmesine İlişkin Kararı

Kuruma intikal eden ihbarda, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi üzerine konu hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından resen inceleme başlatılmıştır

Veri sorumlusu şirket savunmasında özetle;

• mobil yemek kartları verilirken çalışan ilgili kişilerin telefon numarası verileri, işveren aracılığıyla taraflarınca işlendiği için uygulamada telefon numarası ile doğrulama yapılarak ilgili kişilerin T.C. kimlik numarasının istenmediğini ve 
• çalışan fiziki yemek kartını mobil uygulamaya tanımlayarak mobil ödeme özelliğinden faydalanmak isterse, fiziki yemek kartları verilirken çalışanlara ait herhangi bir veri taraflarınca işlenmediği için uygulamada çalışanın doğrulanması ve güvenlik amacıyla T.C. kimlik numarasının istendiği ve girilen bilgilerin T.C. kimlik numarası ile doğrulandığını

belirtmiştir.

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 17.08.2023 tarihli ve 2023/1430 sayılı Kararı ile;

• telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almakla birlikte, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve
• veri ihlali yaşanması halinde kişiler için daha büyük zararlara yol açabileceği gözetildiğinde; ilgili kişilerin menfaatlerinin korunması için uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası gibi bilgilerle sağlanması için yapılacak düzenlemelerin tasarımda mahremiyet, veri minimizasyonu ve kişisel verilerin amaca uygun ve ölçülü işlenmesi ilkelerine uygun olacağı

değerlendirmelerinden hareketle,

• uygulamada doğrulamanın T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğundan, T.C. kimlik numarası verisinin işlenmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 5’inci maddesindeki hukuki sebeplere dayanmaksızın yapıldığı ve kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğu değerlendirildiğinden veri sorumlusunun kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla her türlü teknik ve idari tedbir alma yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına, 
• doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası bilgisiyle yapılması gibi yöntemlerle sağlanması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına ve
• işlenmesini gerektiren hukuki sebebi olmayan T.C. kimlik numaralarının Kanun ve ilgili yönetmeliğe uygun bir biçimde imha edilmesi, imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,

karar verilmiştir.

Kurul vermiş olduğu bu karar ile veri sorumlularının işledikleri verilerin sadece Kanun’da yer alan veri işleme şartına sahip olmasının yanında kişisel veri işlenmeden veya görece daha az öneme sahip bir kişisel veri işlenerek yapılabileceğinin de kontrolünü sağlamaları gerektiğini vurgulamıştır.