Kamu Denetçiliği Kurumu (KDK), kamu çalışanlarının kurum kimlik kartlarında yer alan bazı ayrıntılı kişisel bilgilerin gereksiz şekilde ifşa edilmesine ilişkin başvuruda önemli bir sonuca ulaştı. İnceleme süreci sonunda, kimlik kartlarının içeriği yeniden düzenlendi ve anne adı, baba adı, doğum tarihi gibi verilerin yer almadığı yeni bir kart uygulamasına geçildi. Yeni tasarımda kimlik kartları, yalnızca görevle doğrudan ilgili ve ihtiyaç kadar bilgi içerecek şekilde sınırlandırıldı.
Başvuru Neden Yapıldı?
Özel bütçeli bir kamu kurumunda görev yapan personel, görevi gereği denetim ve eğitim faaliyetleri kapsamında farklı kurumlara gittiğini, bu ziyaretlerde kimliğini ibraz etmek zorunda kaldığını belirtti. Mevcut kart üzerinde yer alan detaylı kişisel bilgiler nedeniyle, kimliğini gösterdiği her durumda özel nitelikte olmayan ancak hassas kabul edilebilecek verilerin kolayca görünür hale geldiğini ifade etti. Bu durumun kişisel veri güvenliği açısından risk oluşturduğunu belirterek kurumdan yeni kart talep etti.
Kurum Talebi Reddetti, Süreç KDK’ye Taşındı
Başvurucu, kurumun kimlik kartı içeriğini değiştirmemesi üzerine KDK’ye müracaat etti. KDK, değerlendirmesinde kurum kimliklerinin “kimlik tespiti ve görev doğrulama” amacını aşacak ölçüde veri barındırmaması gerektiğine dikkat çekti. Ardından ilgili kurumla iletişime geçilerek kimlik kartının içeriği, kişisel verilerin korunması yaklaşımıyla yeniden ele alındı.
Yeni Uygulama: “Asgari Bilgi” İlkesine Göre Kart
KDK’nin temas ve yönlendirmesi sonrasında hazırlanan yeni kimlik kartında, görev doğrulaması için yeterli olacak bilgiler bırakıldı. Buna göre kart içeriğinin aşağıdaki alanlarla sınırlandığı belirtildi:
- Ad ve soyad
- Unvan
- Kurum sicil numarası
- Görev ili / görev yeri bilgisi
Böylece kurum kimliği, pratikte en çok sorun oluşturan ve üçüncü kişilerle temas halinde gereksiz şekilde açığa çıkabilen doğum tarihi ile anne-baba adı gibi verilerden arındırılmış oldu.
Neden Önemli? Kimlik Kartı Üzerindeki Her Ek Bilgi Risk Oluşturabilir
Kurum kimlik kartları; denetim, saha görevi, giriş-çıkış, toplantı ve resmi işlem gibi pek çok durumda ibraz ediliyor. Kart üzerinde yer alan her ek bilgi, personelin kontrolü dışında üçüncü kişilerin görebileceği bir alana taşınabiliyor. Bu nedenle “görev için zorunlu olmayan” alanların kimlik kartından çıkarılması, hem veri güvenliği hem de kurumsal standartlar açısından kritik görülüyor.
Emsal Etki: Diğer Kurumlar İçin Yol Gösterici
Ulaşılan sonuç, yalnızca bir personelin talebinin karşılanmasıyla sınırlı kalmayıp, benzer kimlik kartı tasarımları kullanan kurumlar açısından da yol gösterici bir örnek niteliği taşıyor. Uygulama, kurumların kimlik kartı şablonlarını yeniden değerlendirirken ihtiyaç kadar veri yaklaşımını esas almasının önemini bir kez daha gündeme getirdi.
Personel ve Kurumlar İçin Kısa Notlar
- Kimlik kartında yer alan bilgilerin “görev için gerçekten gerekli” olup olmadığı düzenli aralıklarla gözden geçirilebilir.
- Yeni kart basımı ve yenileme süreçlerinde standart şablonlar, “asgari veri” yaklaşımıyla güncellenebilir.
- Personelin veri güvenliği talepleri yazılı alınarak kurumsal yönergelerle netleştirilebilir.