Başvuruları Cevaplandırmayan Veri Sorumlusuna 50 Bin TL Ceza!

Kişisel Verileri Koruma Kurulu yeni bir karara daha imza attı. Somut olayda;

Veri Sorumlusu: Uçak bileti satış firması,

İlgili Kişi: Firmadan bilet satın alan kişidir.

İlgili kişi internet üzerinden bilet satışı yapan veri sorumlusu firmadan bilet satın almıştır. Fakat ilgili kişiye ait e-posta adresi firma sisteminde [email protected] olarak kaydedilmesi gerekirken, [email protected] uzantılı kaydedilmiştir. İlgili kişi firmaya başvurarak gerekli güncelleme yapılması talebini bildirmiştir. Fakat firma e-posta adresleri üzerinde değişiklik yapamadıklarını söyleyerek talebi reddetmiştir. İlgili kişi konuyla alakalı olarak KVKK'ya başvuru yapmıştır. KVKK yapılan başvurunun incelenmesi sonucunda; değiştirilmesi istenen mail adresinin herhangi bir kişisel veri kabul edilmediği gerekçesiyle KVKK kapsamında yapılacak bir işlem olmadığını bildirmiştir. Fakat KVKK'nın yapılan başvuruyu bu gerekçeyle reddetmesini dürüstlük kuralına uygun bulmamıştır. Bu sebeple Kurul firmayı, yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması konusunda talimatlandırma konusunda karar vermiştir.

İlgili karar sonrasında ilgili kişi aynı veri sorumlusu ile alakalı ikinci bir şikayet başvurusunda bulunmuştur. Şikayet başvurusunda e-posta adresinin güncellenmesi için tekrar firmaya başvurduğunu, fakat firmanın 30 gün içerisinde olumlu ya da olumsuz dönmediğini yazmıştır. KVKK bu şikayetin üzerine veri sorumlusu firma hakkında yeniden bir inceleme başlatmıştır. Veri sorumlusu KVKK'ya yaptığı savunmada, KEP adresine gelen başvuruya yoğunluk sebebiyle 30 gün içinde dönemediklerini fakat sonra gerekli güncellemeyi yaptıklarını iddia etmiştir.

KVKK yapılan savunmanın üzerine verdiği kararda;
 

• Veri sorumlusunun, kendisine yapılan ikinci başvuruyu 7 dk sonra okuduğunun anlaşıldığı,
• Kurulun talimatına rağmen ilgili kişinin KEP adresinden yaptığı ikinci başvurusunun cevaplandırılmadığı,
• Başvurunun cevaplandırılmamasının ise veri sorumlusunun savunmasında, yoğunluk sebebiyle gözden kaçtığı şeklinde gerekçelendirildiği,
• Veri sorumlusu tarafından başvuruların etkin, hukuka ve dürüstlük kuralına uygun cevaplandırılması için gerekli idari tedbirlerin alınmadığı ve Kurul tarafından verilen talimata uygun davranılmadığı gerekçeleri ile firmaya 50 bin TL idari para cezası uygulamıştır.

KVKK tarafından verilen karar aşağıdaki şekildedir;

 

“Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikayetle ilgili” Kişisel Verileri Koruma Kurulunun 06.02.2020 Tarihli ve 2020/86 Sayılı Karar Özeti

 

Karar Tarihi	: 06/02/2020
Karar No	: 2020/86
Konu Özeti	:Bir uçak bileti satış firması olan veri sorumlusu hakkındaki şikayet başvurusu.

 

İlgili kişinin “….com” internet adresi üzerinden hizmet veren bir uçak bileti satış firması olan veri sorumlusunun sistemlerinde …[email protected] şeklinde kayıtlı olan üyelik e-posta adresinin …@gmail.com olarak güncellenmesini talep ettiği; ancak söz konusu talebinin, üyelik e-posta adresleri üzerinde değişiklik işlemi yapılamadığı ve kullanılmak istenilen e-posta adresiyle yeni bir üyelik başlatılabileceği gerekçe gösterilerek reddedilmesi nedeniyle Kurumumuza yaptığı Eylül 2018 tarihli başvuru ile ilgili yürütülen incelemede veri sorumlusu tarafından Kurumumuza iletilen savunma yazısında, ilgili kişinin başvurusunun, esasen sisteminde kayıtlı olmayan bir e-posta adresinden gönderildiği ve bu başvurunun tebliğde sayılan yöntemlerin herhangi biri ile gerçekleşmemiş olması sebebiyle reddedildiği açıklamasında bulunulmuş olup, bu kapsamda ilgili kişinin başvurusunun veri sorumlusunun cevabı ile birlikte değerlendirilmesi neticesinde 01/03/2019 tarih ve 2019/48 sayılı Kişisel Verileri Koruma Kurulu Kararı ile

• Mevzuatla belirlenen usule uygun olmayan başvurusu nedeniyle kişinin kimliğinin tanımlanamadığı noktasından hareketle, ilgili kişinin talebini reddeden veri sorumlusunun bu eylemine ilişkin olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) hükümleri kapsamında yapılacak bir işlem bulunmadığına,
• Bununla birlikte, veri sorumlusu tarafından ilgili kişinin başvurusunun Kuruma yapılan açıklamada olduğu gibi sistemlerinde kayıtlı olmayan bir e-posta adresi üzerinden yapılması nedeniyle kişinin kimliğinin belirlenemediği gerekçesiyle değil üyelik e-posta adresleri üzerinde değişiklik işlemi yapılamadığı gerekçesiyle reddedilmesi karşısında veri sorumlusunun, Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğ kapsamında ilgili kişi tarafından yapılan bir başvuruyu dürüstlük kuralına uygun olarak sonuçlandırmadığı dikkate alınarak, bundan böyle Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda Şirketin talimatlandırılmasına

karar verilmiş olup, bu karar ilgili kişiye ve veri sorumlusuna tebliğ edilmiştir.

Müteakiben, ilgili kişinin aynı veri sorumlusu hakkındaki ikinci şikayet başvurusunda özetle,

• İlgili kişinin 12.04.2019 tarihinde KEP hesabını kullanarak veri sorumlusunun KEP adresi olan “…@....kep.tr” adresine e-posta göndererek sistemlerinde kayıtlı “…@outlook.com” adresinin “…@gmail.com” olarak güncellenmesini talep ettiği,
• Kayıtlı elektronik posta aracılığıyla gönderilen e-postanın aynı gün içerisinde veri sorumlusu tarafından okunduğu ancak 30 gün içerisinde ilgili kişiye veri sorumlusu tarafından cevap verilmediği

belirtilerek, 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.

Veri sorumlusu savunmasında özetle;

• “…@gmail.com” adlı e-posta adresinden müvekkili firmaya bir e-posta gönderilerek bu e-postada sisteme kayıtlı bir kullanıcı olan ilgili kişinin bir takım kişisel verisini yazarak sistemdeki e-posta adresinin güncellenmesini talep ettiği,
• İlgili kişinin, veri sorumlusuna ilk başvurusunun, veri sorumlusunun sisteminde kayıtlı olmayan bir e-posta adresinden gönderilen ve kayıtlı bir kullanıcının hesap yönetimini talep eden bir e-posta olduğundan şikayete konu başvurunun tebliğde sayılan yöntemlerin herhangi biri ile gerçekleşmemiş olduğunu, bu sebeple söz konusu e-posta adresi değişikliği talebinin işleme alınmadığı,
• Daha sonra ilgili kişinin KEP adresi yoluyla 12.04.2019 tarihinde veri sorumlusuna tekrar başvuruda bulunduğu ancak yoğunluk sebebi ile başvurunun bir süre sonra gözden kaçtığı, ilgili kişinin talebi fark edildiğinde yerine getirilerek e-posta adresinin talebi doğrultusunda güncellendiği ve bu güncellemenin ilgili kişiye de bildirildiği, ilgili kişinin “…@gmail.com” e-posta adresiyle sisteme giriş yapabilmekte olduğu

belirtilmiştir.

Konunun incelenmesi neticesinde Kişisel Verileri Koruma Kurulunun 06.02.2020 tarih ve 2020/86 sayılı Kararı ile;

• Kanunun 13 üncü maddesi ile Veri Sorumlusuna Başvuru Usul ve Esasları Hakkında Tebliğin 6 ncı maddesinde veri sorumlusunun ilgili kişi başvurularını etkin bir şekilde sonuçlandırma yükümlülüğünün düzenlediği, veri sorumlusu tarafından ilgili kişinin başvurularına cevap verilmemesi ya da cevabın yetersiz bulunması halinde ilgili kişiye Kurula şikayet hakkı tanınmışsa da sadece başvuruya cevap verilmemesi sebebiyle veri sorumlusuna uygulanabilecek bir idari yaptırım türüne Kanunda yer verilmediği,
• Ancak, somut olaydaki başvurunun, ilgili kişinin veri sorumlusuna yaptığı ikinci başvuru olduğu, ilk başvuru sonrasındaki şikayet doğrultusunda Kurul tarafından alınan 01/03/2019 tarihli ve 2019/48 sayılı Kararda veri sorumlusunun, Tebliğ kapsamında ilgili kişiler tarafından yapılacak başvuruları etkin, hukuka ve dürüstlük kuralına uygun olarak sonuçlandırmak üzere gerekli her türlü idari ve teknik tedbirleri alması hususunda talimatlandırılmasına karar verildiği,
• Şikayet dilekçesi ekinde sunulan KEP delilinden veri sorumlusunun ilgili kişinin başvurusunu, kendisine iletilmesinden yedi dakika sonra okuduğunun anlaşıldığı, Kurulun talimatına rağmen ilgili kişinin KEP adresinden yaptığı ikinci başvurusunun cevaplandırılmadığı, başvurunun cevaplandırılmamasının ise veri sorumlusunun savunmasında, yoğunluk sebebiyle gözden kaçtığı şeklinde gerekçelendirildiği, buna göre, veri sorumlusu tarafından başvuruların etkin, hukuka ve dürüstlük kuralına uygun cevaplandırılması için gerekli idari tedbirlerin alınmadığı ve Kurul tarafından verilen talimata uygun davranılmadığı

değerlendirilmiş olup, Kanunun 15 inci maddesinin (5) numaralı fıkrası hükümlerine aykırı hareket eden veri sorumlusu hakkında Kanunun 18 inci maddesinin 1 inci fıkrasının (c) bendi uyarınca 50.000 TL idari para cezası uygulanmasına karar verilmiştir.