Kişisel Verileri Koruma Kurulu (KVKK), özellikle otellerde yaygın olarak kullanılan “kimlik fotokopisi alma” uygulamasına ilişkin önemli bir ilke kararı açıkladı. Kararla birlikte, resepsiyon görevlilerinin kimlik fotokopisi talep etmesi artık tartışmalı bir veri işleme yöntemi olarak değerlendiriliyor. Kurul daha önce de bir GSM operatör bayisinin, sözleşme sonlandırma işlemi için kimlik fotokopisi ısrarı nedeniyle idari yaptırım uygulamıştı.
Kararın ardından temel soru yeniden gündeme geldi: Kimlik fotokopisi almaya gerçekten ihtiyaç var mıydı? KVKK’nın açıkça sıraladığı veri işleme ilkeleri bu konuda net bir çerçeve sunuyor:
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenmesi
- Amaca uygun, bağlantılı, sınırlı ve ölçülü olma
- Gerekli süre kadar muhafaza edilme
Bu ilkeler dikkate alındığında, özellikle üçüncü ve dördüncü maddeleri doğru yorumlayan bir veri sorumlusunun, süreçlerini mümkün olan en az veriyle yürütmesi gerektiği vurgulanıyor.
Uzmanlar, kararın yalnızca turizm sektörünü değil, insan kaynakları birimlerini de ilgilendirdiğini belirtiyor. Birçok kurumun özlük dosyalarında yer alan ve büyük bölümü fiziksel olarak saklanan kişisel verilerin amacı, meşruiyeti ve ölçülülüğü giderek daha fazla sorgulanıyor.
“Yarın değişebilecek bir adli sicil durumuna ait çıktının özlük dosyasına konulmasının gerekçesi nedir?” sorusu ise iş dünyasında tartışmalar yaratmış durumda.
KVKK’nın ilke kararı, veri minimizasyonu ilkesinin çeşitli sektörlerde gözden geçirilmesini gerektiriyor. İnsan kaynakları birimlerinin hem çalışanlardan topladıkları verileri hem de kendi verilerinin işlenme şeklini yeniden değerlendirmesi gerektiği belirtiliyor.