KVKK Bir Kargo Şirketi Çalışanın Attığı Taciz Mesajı Nedeniyle Kargo Şirketine 250 Bin Lira Ceza Verdi! KVKK Bir Kargo Şirketi Çalışanın Attığı Taciz Mesajı Nedeniyle Kargo Şirketine 250 Bin Lira Ceza Verdi!

Ülkemizde kişisel verilerin korunması kanunu yürürlük tarihinden itibaren birçok değişiklikle karşılaşmıştır. Bunun en büyük sebebi teknolojiyle ayrılmaz bir bağı olan kişisel verilerin işlenmesi ve paylaşılması hızının gün geçtikçe artmasıdır. Kişisel Verilerin Korunması Kanunu bir çerçeve olmakla birlikte düzenlediği hükümlere ilişkin oldukça fazla ikincil mevzuata başvurulmaktadır. Kişisel Verileri Koruma Kurulu uygulamalarıyla yönetmelik ve tebliğlerin yanı sıra ilgililerinin faydalanabileceği rehberlere de yer verilmektedir. Ancak veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiştir. 

Bugünkü yazımıza konu olan kurul kararında; İlgili kişinin veri sorumlusu telekomünikasyon şirketi hakkında kendisine ait e-posta adresine başka bir aboneye ait e-faturaların gönderilmesi nedeniyle şikayette bulunduğu bu kapsamda veri sorumlusu telekomünikasyon şirketi hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından idari para cezası uygulanmasına ve kişisel verilerin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda veri sorumlusunun talimatlandırılmasına karar verilmiştir. Kararın detaylarına bakacak olursak;

“İlgili kişinin e-posta adresine başka abonelere ait e-faturaların gönderilmesi” hakkında Kişisel Verileri Koruma Kurulunun 08/09/2022 tarihli ve 2022/925 sayılı Karar Özeti

Karar Tarihi : 08/09/2022
Karar No : 2022/925
Konu Özeti : İlgili kişinin e-posta adresine başka abonelere ait e-faturaların gönderilmesi

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; ilgili kişinin daha önce veri sorumlusu telekomünikasyon şirketi hakkında kendisine ait e-posta adresine başka bir aboneye ait e-faturaların gönderilmesi nedeniyle şikâyette bulunduğu, bu kapsamda veri sorumlusu telekomünikasyon şirketi hakkında Kişisel Verileri Koruma Kurulu (Kurul) tarafından idari para cezası uygulanmasına ve kişisel verilerin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda veri sorumlusunun talimatlandırılmasına karar verildiği  ancak 2018 yılından beri 053..….4 numaralı hattın sahibinin e-faturalarının veri sorumlusu tarafından ilgili kişiye iletildiği bununla birlikte 054.…..9 numaralı hattın sahibinin e-faturalarının da kendisine iletilmeye başlandığı ifade edilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Öncelikle ilgili kişiye ait verilerin düzeltilmesini isteme hakkının yerine getirilmediği iddiasının gerçeği yansıtmadığı, ilgili kişinin şirkete yaptığı başvuru sonrasında 054……9 numaralı hattın faturalama bilgilendirme tercihinin Mayıs 2020 dönemi ve sonrası için e-faturadan SMS’e çevrildiği; bu çerçevede, şirket sistemlerinde yapılan sorgulamada 054……9 numaralı telefon numarasına ilişkin hazırlanan e-faturanın ilgili kişinin beyan ettiği e-posta adresine en son 30 Nisan 2020 tarihinde iletildiğinin tespit edildiği,
  • Aynı e-mail adresini beyan eden 053……4 numaralı hat sahibine ise konuya ilişkin olarak ulaşılmaya çalışılmasına rağmen borcundan dolayı hattının erişime kısıtlı olması nedeniyle ulaşılamadığı, abonelik sözleşmesi kapsamında aynı e-posta adresini beyan eden hat sahibinin değişikliğe ilişkin rızası alınamadığı için herhangi bir işlem yapılamadığı, hat sahibinin abonelik sözleşmesinde beyan ettiği bilgilerin hat sahibinin iradesi dışında değiştirilmesinin Kanun kapsamındaki haklarının ihlaline ve Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) ilgili yönetmeliklerine aykırı hareket edilmesine sebep olacağı, zira kişisel verilerinin düzeltilmesinin kullanılması hakkının hat sahibine ait olduğu,
  • İlgili kişinin ilk şikâyetini 11.01.2019 tarihinde Kuruma ilettiği, ilk başvurusunda, yalnızca 053……7 numaralı hattın faturalarının kendisine gönderilmesi ve bu suretle e-posta adresinin hukuka aykırı işlendiğine ilişkin rahatsızlığını beyan ettiği ancak 053……4 numaralı hatta ait faturaların da 2018 yılında aynı e-posta adresine iletilmekte olduğu görülmesine rağmen ilgili kişinin yaptığı 11.01.2019 tarihli ilk başvuruda 053…..4 numaralı hattın faturasına ilişkin rahatsızlık duyduğunu beyan etmediği, ilk başvurusunda yer vermediği bu numaraya yönelik rahatsızlığını yaklaşık 18 ay sonra iletme gereği duymasının diğer şikâyetlerinde kullanmak üzere numarayı elinde tutmayı tercih etmesi anlamına geldiği, gereksiz iş yükü getiren ve etik olmayan bu tercihin dürüstlük ilkesiyle bağdaşmadığı

ifade edilmiştir.  

Konuya ilişkin yapılan değerlendirme neticesinde, Kurulun 08/09/2022 tarih ve 2022/925 sayılı Kararı ile;

  • Kanun’un “Genel İlkeler” başlıklı 4’ üncü maddesinde “(1) Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir. (2) Kişisel verilerin işlenmesinde aşağıdaki ilkelere uyulması zorunludur: a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” hükmünün yer aldığı
  • Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinde; “(1) Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.” hükmüne yer verildiği,
  • Somut olayda ilgili kişinin ilk başvurusuna istinaden verilen Kurul Kararı kapsamında veri sorumlusunun kişisel verilerin güvenliğine ilişkin gerekli tüm idari ve teknik tedbirlerin alınması hususunda talimatlandırılmasına rağmen, üçüncü kişilere ilişkin faturanın ilgili kişinin e-posta adresine iletilmeye devam edilmesinin ve yine üçüncü bir kişiye ait abonelik sözleşmesinde ilgili kişinin e-posta adresinin bildirilmiş olmasının,  mevcut ve yeni üyelerin e-posta adresi gibi iletişim kanallarının doğrulanmasına yönelik bir mekanizmanın bulunmadığını gösterdiği,
  • Veri sorumlusunun söz konusu kişisel verilerin doğruluğunu sağlamak amacıyla proaktif bir yaklaşımla gerekli tedbirleri almamasının Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil ettiği, dolayısıyla veri sorumlusu tarafından kişisel verilerin işlenmesinde Kanun’un 12’nci maddesinin (1) numaralı fıkrası kapsamında uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirlerin alınmadığı kanaatine varıldığı

değerlendirmelerinden hareketle;

  • İlgili kişinin e-posta adresinin üçüncü kişilere ait faturanın iletilmesi suretiyle işlenmesi ve bu durumun Kanun’un 4 üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil etmesi sebebiyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülükleri yerine getirmediği kanaatine varılan veri sorumlusu hakkında, daha önce  verilen Kurul Kararında abonelerin kişisel verilerinin güvenliğine ilişkin gerekli idari ve teknik tedbirlerin alınması hususunda talimatlandırıldığı da dikkate alınarak, Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 200.000 TL idari para cezası uygulanmasına,
  • İlgili kişinin e-posta adresine üçüncü kişilere ait kişisel verilerin iletilmemesi amacıyla gerekli tedbirlerin alınması ve sonucundan Kurula bilgi verilmesi hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.

Sonuç olarak; Kişisel Verileri Koruma Kurumu, İlgili kişinin e-posta adresinin üçüncü kişilere ait faturanın iletilmesi suretiyle işlenmesi ve bu durumun Kanun’un 4 üncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine aykırılık teşkil etmesi sebebiyle ve yükümlülükleri yerine getirmediği kanaatine varılan veri sorumlusu hakkında, daha önce  verilen Kurul Kararında abonelerin kişisel verilerinin güvenliğine ilişkin gerekli idari ve teknik tedbirlerin alınması hususunda talimatlandırıldığı da dikkate alınarak  200.000 TL idari para cezası uygulanmasına karar vermiştir. 

Editör: ELİF KÖSEDAĞ