Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 sayılı Karar Özeti


"Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi" hakkında Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 sayılı Karar Özeti

 

Karar Tarihi : 17/08/2023
Karar No : 2023/1430
Konu Özeti : Yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamada T.C. kimlik numarasının işlenmesi

 

Kuruma intikal eden ihbarda, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin T.C. kimlik numarası bilgilerinin istendiğinin belirtilmesi üzerine konu hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından resen inceleme başlatılmıştır. Mobil uygulama üzerinde yapılan incelemede, mobil uygulamaya kayıt olurken isim, soy isim, telefon numarası, doğum tarihi, e-posta bilgilerinin talep edildiği; kişi profiline yemek kartı tanımlanmak istediğinde ise girilen bilgilerin T.C. kimlik numarası ile karşılaştırılacağının belirtildiği tespit edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde şikâyet edilen veri sorumlusundan savunması talep edilmiş olup veri sorumlusu tarafından verilen cevapta özetle;

  • Çalışanların, işverenlerinin kendilerine sağladığı yemek kartlarını kullanarak yemek harcamalarını gerçekleştirebildiği, yemek kartlarının mobil yemek kartı ve fiziki yemek kartı olmak üzere ikiye ayrıldığı ve işverenin bu kartlardan dilediğini tercih edip çalışanlarına kullandırabildiği,
  • Mobil yemek kartları verilirken çalışan ilgili kişilerin telefon numarası verileri, işveren aracılığıyla taraflarınca işlendiği için uygulamada telefon numarası ile doğrulama yapılarak ilgili kişilerin T.C. kimlik numarasının istenmediği, 
  • Fiziki yemek kartlarının kullanılması için uygulamaya kayıtlı olunması gerekmediği ve bu kartların anonim olarak fiziki ödeme yöntemi ile kullanılabildiği, ancak çalışan fiziki yemek kartını mobil uygulamaya tanımlayarak mobil ödeme özelliğinden faydalanmak isterse, fiziki yemek kartları verilirken çalışanlara ait herhangi bir veri taraflarınca işlenmediği için uygulamada çalışanın doğrulanması ve güvenlik amacıyla T.C. kimlik numarasının istendiği ve girilen bilgilerin T.C. kimlik numarası ile doğrulandığı

ifade edilmiştir.

  • Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 17/08/2023 tarihli ve 2023/1430 sayılı Kararı ile;
  • Telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almakla birlikte, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler için daha büyük zararlara yol açabileceği gözetildiğinde; ilgili kişilerin menfaatlerinin korunması için çalışan tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası gibi bilgilerle sağlanması için yapılacak düzenlemelerin tasarımda mahremiyet, veri minimizasyonu ve kişisel verilerin amaca uygun ve ölçülü işlenmesi ilkelerine uygun olacağı

değerlendirmelerinden hareketle,

  • Fiziksel yemek kartlarının mobil uygulamada kayıt altına alınması halinde kartın doğrulanması işleminin kişilerin T.C. kimlik numarası bilgisi işlenmeden, işveren aracılığıyla kart ve telefon numarası bilgisi işlenmesi gibi ilgili kişileri daha çok koruyacak yollarla yapılması mümkün olduğundan, T.C. kimlik numarası verisinin işlenmesinin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5’inci maddesindeki hukuki sebeplere dayanmaksızın yapıldığı ve Kanun’un 4’üncü maddesindeki kişisel verilerin işlendiği amaçla ölçülü işlenmesi ilkesine aykırı olduğu değerlendirildiğinden Kanun’un 12’nci maddesinin birinci fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında 200.000 TL idari para cezası uygulanmasına, 
  • Telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almakla birlikte, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler açısından daha büyük zarara yol açacağı gözetildiğinde; ilgili kişilerin menfaatlerinin korunması için çalışan tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası bilgisiyle yapılması gibi yöntemlerle sağlanarak T.C. kimlik numarasının işlenmemesi için gerekli teknik ve idari tedbirleri alması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına,
  • İşlenmesini gerektiren hukuki sebebi olmayan T.C. kimlik numaralarının Kanun’un 7’nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun bir biçimde imha edilmesi, imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.