KVKK’dan T.C. Kimlik Numarası İsteyen Yemek Kartı Şirketine 200.000 TL Ceza
Kişisel Verileri Koruma Kurulu (KVKK), yemek kartı hizmeti sunan şirkete ait mobil uygulamada T.C. kimlik numarasının işlenmesi üzerine 200.000 TL para cezası verdi.
KVK Kuruma intikal eden KVKK ihbar içeriğinde, yemek kartı hizmeti sunan veri sorumlusuna ait mobil uygulamayı kullanmak için kayıt olurken kişilerin T.C. kimliknumarası bilgilerinin istendiği belirtiliyor. belirtilmesi üzerine konu hakkında Kişisel Verileri Koruma Kurulu resen inceleme başlatılıyor.
KVK Kurulu resen inceleme başlatarak mobiluygulama üzerinde inceleme yapıyor. Uygulamaya kayıt olurken isim, soy isim, telefon numarası, doğum tarihi, e-posta bilgilerinin; kişi profiline yemek kartı tanımlanmak istediğinde de T.C. kimlik numarasının talep edildiği tespit ediliyor.
Veri sorumlusu savunmasında özetle, yemek kartlarının mobil ve fiziki yemek kartı olmak üzere ikiye ayrıldığı ve işveren bu kartlardan dilediğini tercih edip çalışanlarına kullandırabildiği, fiziki yemek kartlarının kullanılması için uygulamaya kayıtlı olunması gerekmediği ve bu kartların anonim olarak fiziki ödeme yöntemi ile kullanılabildiği, ancak çalışan fiziki yemek kartını mobil uygulamaya tanımlayarak mobil ödeme özelliğinden faydalanmak isterse, uygulamada çalışanın doğrulanması ve güvenlik amacıyla T.C. kimlik numarasının istendiği ve bu bilgiler ile çalışanın doğrulandığı ifade ediliyor.
Kurul yaptığı incelemede, telefon numarası ve T.C. kimlik numarası genel nitelikte kişisel veri kategorisinde yer almasına rağmen, T.C. kimlik numarasının niteliği itibariyle telefon numarasına nazaran daha önemli bir veri olduğu ve veri ihlali yaşanması halinde kişiler için daha büyük zararlara yol açabileceğini değerlendiriyor.
İlgili kişilerin menfaatlerinin korunması için çalışan tarafından fiziksel kartların mobil uygulamaya eklenmek istenmesi halinde uygulamadaki doğrulamanın, işveren aracılığıyla veri sorumlusuna ibraz edilecek kart bilgisi ve telefon numarası gibi bilgilerle sağlanması için yapılacak düzenlemelerin tasarımda mahremiyet, veri minimizasyonu ve kişisel verilerin amaca uygun ve ölçülü işlenmesi ilkelerine uygun olacağını belirtiyor ve 200.000 TL idari para cezası veriyor.
Uygulamadaki doğrulama sürecinde T.C. kimlik numarasının işlenmemesi için gerekli teknik ve idari tedbirleri alınması ve Kurula bilgi verilmesi yönünde talimat veriliyor.
T.C. kimlik numaralarının KVKK ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik’e uygun bir biçimde imha edilmesi, imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler ( log kaydı gibi) ile Kurula bilgi verilmesi yönünde talimat veriliyor.
KVKK para cezası kararı için ⬇️
https://kvkk.gov.tr/Icerik/7782/2023-1430