DPC
İrlanda

İrlanda – ‘Hesap Sahibi ile görüşebilir miyim?’ – Kuruluşlarla başkası namına iletişim

21 Mayıs 2021

Veri Koruma Komisyonu (‘DPC’) olarak düzenli olarak karşılaştığımız konulardan biri de, bir başkası namına bir kuruluşla iletişim kurduklarında kişilerin atmaları istenen adımlardan duydukları memnuniyetsizliktir. Bu kişilerin sıkça aldıkları bir cevap, kuruluşun yalnızca doğrudan hesap sahibiyle görüşebileceğinin söylenmesi veya (bu kişilerin) hesap sahibi adına hareket ettiklerine dair çok yüksek standartta bir kanıt sunmalarının istenmesidir. Burada hem veri koruma yükümlülükleri (güvenlik ve gizlilik gibi), hem de diğer olası yasal yükümlülükler gibi birçok faktör rol oynayabilse de, bu blogda kuruluşların bu durumlara nasıl makul ve orantılı bir yaklaşım sergileyebileceğini açıklamaya çalışacağız. Çok açık nedenlerden dolayı normalde kuruluşlar, kendilerini arayan kişilerden kendilerini o ya da bu şekilde tanıtmalarını isteyebilir. Burada amaç, arayan kişinin sorduğu sorulara düzgünce yanıt vermektir, fakat aynı zamanda da arayanın, söylediği kişi olduğundan ve hesap sahibinin kişisel verilerinin geçerli bir sebep olmadan başka birine ifşa edilmediğinden emin olmaktır. Bu amaçla arayan kişilere genellikle doğum tarihleri, adresleri, telefon numaraları veya en son işlemleriyle ilgili bazı ayrıntıları doğrulanmasına dair bilgiler gibi hususlara ek olarak adları ve/veya hesap numaraları da sorulur.

Bir arkadaş için soruyorum

Ancak bir kimse;  bir aile üyesi, arkadaş, hasta yahut bu aramayı kendisi gerçekleştiremeyen ya da bir başkasının kendisi adına konuşmasını tercih eden diğer kişiler adına bir kuruluşu  aradığında bazı sorunlar ortaya çıkabilir. Bazen başkasını temsilen arayan kişilerden, adına arama yaptığı kişi namına konuşmaya yetkili olduğunu gösteren öyle kanıtlar istenmektedir ki bu kanıtlar adına arama yapılan kişi kendisi arasa bu kadar ağır seviyede olmayacaktır. Bazı diğer durumlarda ise kuruluş, çok basit bir şekilde ifade etmek gerekirse, temsilen arama yapan kişiye başkasının hesabı hakkında görüşmeyeceğini söylemektedir.

Böyle bakınca bu husus, temsilen arayan kişi, dürüst bir şekilde başkası namına aradığını açıklamayıp hesap sahibiymiş gibi davransa her şeyin daha kolay olacağı garip bir duruma neden olmaktadır. Kişiler benzer sorunlarla, iletişim formu, e-posta veya mektup gibi başka bir ortam üzerinden iletişim kurarken de karşılaşılabilir.

Güvenlik, bütünlük ve gizlilik yükümlülükleri

Tabi ki kuruluşların -GDPR’ın 5’inci maddesindeki “bütünlük ve gizlilik” ilkesine uygun olarak – kişisel verileri, güvende tutma ve bilmemesi gereken üçüncü kişilere ifşa etmeme yükümlülüğü vardır. Bu ilke kişisel verilerin yalnızca “yetkisiz veya hukuka aykırı işlemeye ve kazara kayıp, imha veya zarara karşı korunması da dahil olmak üzere, uygun idari ve teknik tedbirler kullanılarak kişisel verilerin uygun güvenliğini sağlayacak şekilde” kullanılmasını gerektirir.
Veri sorumlularının bu durumlarda farklı koşullara münasip güvenlik seviyesinin ne olduğunu değerlendirmeleri anlamına gelen “uygun” kavramı özellikle önemlidir. Veri sorumluları ilgili herhangi bir verinin mahiyeti ve hassasiyeti, kişisel verinin yanlış kişiye ifşa edilmesinden doğacak olası zararlar ve bu kişilerin hukuka uygun şekilde hesap sahibi adına konuşuyor olması olasılığı gibi durumları dikkate almalıdır.

Kuruluşlar ayrıca arayan tarafından talep edilen eylemi de dikkate almalıdır – (varsa) hesapta belirtilen adrese faturanın yeniden gönderilmesi gibi bir talep için atılması gereken güvenlik adımları, hesabın silinmesi veya hassas bilgilerin iletilmesi taleplerine uygun olanlardan görece çok daha az külfetli olabilir.

Vaka Çalışması 1

Bir tercüman desteğiyle bir hizmet sağlayıcı ile iletişim kurmaya çalışan bir kişi, bu esnada karşılaştığı zorluklarla ilgili olarak DPC’nin görüşü sormuştur. Tercüman, ilgili hesap bilgilerini doğru bir şekilde vermiş ve hesapla ilgili güvenlik sorularını yanıtlamış olsa da, kuruluş, tercümanın, hesap sahibin adına konuşma iznine sahip olduğunu kanıtlayan imzalı bir belge sunmadıkça tercümanla uğraşmak istememiştir.

Bu olayda DPC, kuruluşun tercüman vasıtasıyla bir müşteriyle ilgilenmesini engelleyecek herhangi bir bariz veri koruma meselesi görmemiştir. Normal koşullarda kuruluş, güvenlik sorularını doğru yanıtlamanın, arayanın kimliğini doğrulamak için yeterli bir güvenlik önlemi olduğunu düşünmektedir. Bu husus göz önüne alındığında, bunun hesap sahibi adına hareket eden bir tercümanın kimliğini ve yetkisini doğrulamak için de yeterli olabileceği sonucuna varılabilir.

Kişisel verilere yetkisiz erişim riskinde herhangi bir yükselme görülmediğinden, tercüman yardımından faydalanan kişiler için ekstra bir güvenlik gereksinimi eklemenin makul veya güvenlik açısından gerekli olup olmadığı açık değildir. Her halükarda, tercümanın hesap sahibinin iznine sahip olduğunu doğrulamak için ek bir güvenlik adımı atılması gerekse bile, imzalı bir yetkilendirme muhtemelen orantısız olan yüksek bir eşiktir ve burada tercüman için, daha fazla güvenlik sorusunu yanıtlamak veya hesap ayrıntılarını doğrulamak yeterli olabilir.

Vaka Çalışması 2

Bir servis sağlayıcı ile iletişim kurarken işaret dili tercümanı kullanması gereken işitme engelli bir kişinin hizmete erişimi, kuruluş işaret dili tercümanı aracılığıyla görüşmeyi kabul etmediği için, reddedilmiştir. Kuruluş, kabul etmeme gerekçesi olarak “GDPR ve veri koruma konusundaki kaygılarını” ileri sürmüştür.

DPC’nin görüşüne göre, GDPR ve 2018 Tarihli Veri Koruma Yasası, işitme engeli olan veya işitme güçlüğü çeken bir kişinin hizmet sağlayıcı ile etkileşimde bulunurken bir işaret dili tercümanı, bir metin aktarma hizmeti ya da b kullanması gerekiyorsa bu sistemleri kullanmasını engellememekte veya yasaklamamaktadır.

Servis sağlayıcılar, müşterilerin kişisel verilerinin bütünlüğünü ve gizliliğini korumak için uygun güvenlik önlemlerini alma yükümlülüğüne sahiptir. Ancak bu önlemler, işaret dili tercümanı veya bir şekilde metin hizmeti kullanması gerekenleri orantısız biçimde dezavantajlı konuma düşürmemelidir.

Dahası, Eşit Durum Yasası, mal ve hizmet sunumunda ayrımcılığı yasaklamaktadır. Bölüm 4, ayrımcılığın, bu tür özel muamele veya tesisler olmadan, engelli kişiler için hizmetten yararlanmak aşırı derecede zor olacaksa bir hizmet sağlayıcının, bu kişiyi özel muamele veya tesisler sağlayarak ağırlaması için makul olan her şeyi yapmayı reddetmesini ya da yapmamasını kapsayan ayrımcılığı içerir.

GDPR veya genel olarak veri koruma yasası, bir hizmet sağlayıcı tarafından hizmetlere erişimin engellenmesi ve engelliliklerine dayalı olarak insanlara karşı ayrımcılık yapılması için bir engel olarak kullanılmamalıdır.

Tavsiyeler

Elbette, bir kuruluşun hesap sahibinden başka kimseyle uğraşmak istememesinin veya bunu yapamamasının sebepleri olabilir – örneğin iç politikalar veya gizlilik veya mahremiyetle ilgili diğer yasal gereklilikler gibi. Bununla birlikte, DPC’nin görüşü, veri koruma yasasının, kural olarak, güvenlik ve gizlilik yükümlülüklerine uyum sağlamak için makul ve orantılı adımlar attıktan sonra hesap sahibini temsil eden biriyle görüşen kuruluşları engellemediği yönündedir.

Kişisel verileri korumak için “uygun idari ve teknik tedbirleri” planlar ve uygularken, DPC’nin kuruluşlara, özellikle hizmet sağlayıcılara ve yoğun miktarda müşteri hizmetleri rolüne sahip olanlara tavsiyesi, güvenlik ve kimlik doğrulamalarına dengeli ve orantılı bir yaklaşım sağlamaktır. Hem bireylere yüksek düzeyde koruma sağlayan, hem de bu önlemlere kolayca katılamayan ve onlar adına iletişim kurması için birine ihtiyaç duyanlar için orantısız şekilde dezavantajlı olmayan önlemler almalıdırlar.

Uygun güvenlik önlemlerinin uygulanması hakkında daha fazla bilgi edinmek isteyen kuruluşlar, önceki kılavuz notlarımıza “Veri Güvenliğine İlişkin Veri Sorumlusu Rehberi” ve “Küçük İşletmeler için Veri Güvenliği Kılavuzu”na başvurmalıdır.

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!