Ülkemizde kişisel verilerin korunması kanunu yürürlük tarihinden itibaren birçok değişiklikle karşılaşmıştır. Bunun en büyük sebebi teknolojiyle ayrılmaz bir bağı olan kişisel verilerin işlenmesi ve paylaşılması hızının gün geçtikçe artmasıdır. Kişisel Verilerin Korunması Kanunu bir çerçeve olmakla birlikte düzenlediği hükümlere ilişkin oldukça fazla ikincil mevzuata başvurulmaktadır. Kişisel Verileri Koruma Kurulu uygulamalarıyla yönetmelik ve tebliğlerin yanı sıra ilgililerinin faydalanabileceği rehberlere de yer verilmektedir. Ancak veri dünyasının hızına yetişebilmek adına en önemli kaynak Kurul İlke Kararları ve idari yaptırımlara yönelik Karar Özetleri olmuştur. Mevzuat bu kararlar doğrultusunda fazlasıyla şekillenmiştir. 

Kişisel Verileri Koruma kurumu tarafından 24.04.2023 tarihinde birçok yeni kurul kararı yayınlanmıştır. Bu kararlardan birini inceleyecek olursak;

“İlgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi” hakkında Kişisel Verileri Koruma Kurulunun 24/03/2022 tarihli ve 2022/277 sayılı Karar Özeti

Karar Tarihi : 24/03/2022
Karar No : 2022/277
Konu Özeti : İlgili kişiye ait kişisel verileri içeren bir kargo paketinin üçüncü bir şahsın eline geçmesi

İlgili kişinin şikâyetinde özetle;

  • İlgili kişinin kulaklığını onarım yapılması için bir elektronik perakende zincirinin AVM’deki şubesine teslim ettiği, mağaza yetkililerinin de kulaklığı distribütör firmaya iletilmek üzere kargo şirketine teslim ettiği ama kargonun distribütör firma yerine konuyla ilgisiz üçüncü bir şahsa teslim edildiği, ilgili kişinin kargonun teslim edildiği üçüncü şahsın kendisine ulaşması üzerine konudan haberdar olduğu,
  • Elektronik perakende zinciri yetkililerinin konu kapsamında herhangi bir suçlarının olmadığını ve hatanın tamamen kargo şirketinde olduğunu ileri sürdükleri, ancak taşınan kargonun içine ilgili kişiye ait isim, soy isim, cep telefonu numarası, e-posta adresi, ikamet ettiği il ve ilçe ile ödeme yaptığı kredi kartının ilk altı hanesi gibi bilgileri haiz belgelerin koyulduğu,
  • Karşı tarafın art niyetli olması durumunda rahatça kötüye kullanılabilecek mezkûr bilgilerin konuyla ilgisiz üçüncü bir şahsın eline geçtiği, bu durumda ilgili kişinin maddi-manevi bir zarar görmemesinin tamamen o şahsın insaniyetine ve vicdanına kaldığı, elektronik perakende zinciri yetkililerinin bu durumun tamamen prosedür gereğince yapıldığını beyan ettikleri ve hatanın mesuliyetini kabul etmedikleri 

belirtilmiş ve konu hakkında 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.

İlgili kişinin şikâyetine istinaden başlatılan inceleme çerçevesinde veri sorumlusu sıfatını haiz olduğu anlaşılan elektronik perakende zincirinden savunması istenilmiş olup, verilen cevapta özetle;

Vestel Ticaret A.Ş.' den KVKK' ya Veri İhlal Bildirimi Vestel Ticaret A.Ş.' den KVKK' ya Veri İhlal Bildirimi
  • Şikâyete konu olayın, ilgili kişinin kulaklığını onarım yapılması için veri sorumlusunun bir AVM’deki şubesine teslim etmesi ve akabinde ürünün ilgili kişinin talebine uygun olarak onarım için veri sorumlusu tarafından distribütör firmaya kargo şirketi aracılığıyla gönderilmesi ile ilgili olduğu, 
  • Kargo içeriğinde, ürünün yanı sıra distribütör firma tarafından kulaklığın onarım işleminin yapılabilmesi için gerekli olan belgelerin bulunduğu, 
  • Kargonun söz konusu onarım işleminin yapılabilmesi için gerekli olan belgelerle birlikte distribütör firmaya gönderiminin sağlanması amacıyla alıcının adres bilgisi ve unvanı doğru bir şekilde girilerek kapalı ve paketlenmiş olarak kargo şirketine 31/08/2021 tarihinde teslim edildiği, bahsi geçen gönderime ilişkin doldurulan kargo formunun ve irsaliyenin görüntüsünün yazıları ekinde sunulduğu,
  • Bununla birlikte, şikâyete konu kişisel verileri içeren paketin kargo şirketi tarafından veri sorumlusunun kargo üzerinde belirttiği adres dışında üçüncü bir kişiye/farklı bir adreste teslim edildiği, bu durumun kargo şirketinin hatalı teslimat yapması ve adreste bulunan kişinin kendisine ait olmayan hatalı gönderiyi kabul etmesi sebebiyle yaşandığı, 
  • Yaşanan hatalı teslimat durumundan ötürü taraflarının herhangi bir sorumluluğunun bulunmadığı, nitekim Kurumun Veri İşleyen ve Veri Sorumlusu Rehberinde de belirtildiği gibi kargo şirketlerinin sevkiyatı yönetmek için elde ettiği kişisel veriler bakımından 6698 sayılı Kanun uyarınca veri sorumlusu oldukları,
  • Aynı doğrultuda, Kişisel Verileri Koruma Kurulunun (Kurul) 16/01/2020 tarihli ve 2020/32 sayılı Karar Özeti’nde de ifade edildiği üzere “Kurye’nin Karayolu Taşıma Yönetmeliği çerçevesinde gönderici ve alıcılara ilişkin ad ve soyad, unvan, gerçek kişilerde T.C. kimlik numarası bilgilerini tam ve doğru şekilde kaydetme yükümlülüğüne sahip olduğu, kurye firmalarının yükümlülükleri kapsamında sunacakları hizmeti tam ve doğru bir şekilde yerine getirmek amacı ile bu verileri kendi sistemlerine kaydetmekte olduğu, bu açıdan Kurye’nin bağlı olduğu mevzuat çerçevesinde işlediği kişisel veriler bağlamında veri sorumlusu olduğu”nun değerlendirildiği,
  • İlgili kişinin kişisel verilerinin üçüncü bir kişinin eline geçmesinin kargo şirketinin teslimatı gönderim formunda veri sorumlusu tarafından alıcı olarak gösterilen tarafa yapmaması nedeniyle ortaya çıkan bir durum olduğu, yaşanan olayda taraflarının kişisel verilerin korunması mevzuatını ihlal edecek herhangi bir uygulamada ve işleme faaliyetinde bulunmadığı, dolayısıyla ilgili kişinin iddia ettiği gibi somut olayda gerçekleşen işleme faaliyetine ilişkin herhangi bir hukuka aykırılığın söz konusu olmadığı

ifade edilmiştir.

İlgili kişinin şikâyetinin ve veri sorumlusunun savunmasının Kurul tarafından değerlendirilmesi neticesinde; veri sorumlusu tarafından distribütör firmaya gönderilen kargo içerisinde yer alan ve ilgili kişinin bazı kişisel verilerini içeren belgelerin kargo şirketinin hatalı teslimat yapması nedeniyle gerçekleştiğinin beyan edildiği dikkate alınarak kargo şirketinin savunmasının alınması suretiyle incelemeye devam edilmesine karar verilmiştir.

Bu çerçevede, kargo şirketinin Kuruma ilettiği savunmasında özetle; 

  • Şikâyete konu ************ gönderi numaralı kargonun, taşımasını gerçekleştirmek üzere taraflarına verildiğinin tespit edildiği, varış birimine ulaşan kargonun birim personeli tarafından 02/09/2021 tarihinde dağıtıma çıkarıldığı ve sehven üçüncü bir kişiye teslim edildiği, durumun kargonun teslim edildiği üçüncü kişinin bilgi vermesiyle anlaşıldığı, 
  • Kargo şirketinin akdettiği acentelik sözleşmesi ile taşımacılık faaliyeti kapsamında kendi nam ve hesabına taşıtların yükleme, boşaltma, gümrükleme ve pazarlama işlemleri ile diğer acentelik hizmetlerini acenteleri vasıtasıyla yürüttüğü, nitekim şikâyete konu gönderinin varış biriminin de acentesi olduğu ve olayın yaşandığı tarihte işlemi gerçekleştiren personelin söz konusu acentede istihdam edildiğinin tespit edildiği, 
  • Acentelik ilişkisine istinaden imzalanan acentelik sözleşmesinin ve güvenlik tedbirlerine ilişkin protokollerin yazıları ekinde, kargo şirketi tarafından kişisel verilerin korunmasına yönelik bilgilendirme ve aydınlatmaların yerine getirildiği,
  • Teslime ilişkin bilginin alınmasıyla birlikte varış birimi/acente tarafından derhal teslim edilen adrese gidilerek kargonun alındığı ve aynı gün gönderici müşteri olan veri sorumlusuna iade edildiği, acentenin teslimatta görevli personelinin Eylül 2021’in sonlarında ayrıldığı bildirildiğinden teslimatın detayları hakkında bilgi temin edilemediği, 
  • Kargo şirketinin hizmetlerinin güvenliği konusunda oldukça hassas davrandığı ve insani bir hata olarak yapılan işlemle ilgili kasıtlı bir eyleminin söz konusu olmadığı, kargo dağıtım süreçlerindeki yoğunluk nedeniyle istemeden de olsa yaşanan bu gibi aksaklıkların önüne geçilebilmesi için personele gerekli bildirimlerin sıklıkla gerçekleştirildiği,
  • Acentenin işlemi yapan personeli ile acente arasında akdedilen hizmet sözleşmesinde kişisel verilerin güvenliği, korunması ve gizlilik ile ilgili yükümlülükleri hakkında bilgilendirme yapılmakta olduğu,
  • Tüm kargo şirketi çalışanlarına ve tedarikçi/acente çalışanlarına kişisel verilerin gizliliği ve bilgi güvenliği alanlarında hizmet öncesi eğitim verildiği, ilgili personele Nisan 2021 içerisinde toplam 32 saatlik hizmet öncesi eğitim, Mayıs 2021 ve Temmuz 2021 içerisinde iki kez olmak üzere birer saatlik Kişisel Verilerin Korunması ve Bilgi Güvenliği eğitimlerinin verildiği, 
  • Gönderi içeriği hakkında kargo şirketinin bilgisinin olup olmadığı sorusuna cevaben, gönderi içeriğinin kayıtlarda yer almadığı ve bu yüzden ilgili kişinin kişisel bilgilerinin gönderi içeriğinde bulunduğuna dair taraflarının hiçbir bilgisinin bulunmadığı, 
  • Gönderici şirket tarafından ilgili kişiye ait kişisel bilgilerin prosedür gereği kargo içeriğine eklendiği beyan edilmekteyse de bu prosedürün dayanağının da açıklanması gerektiği, çünkü kargo içeriğinde bulunduğu belirtilen bilgilerin distribütör firma ile paylaşım yönteminin daha güvenli sistemler üzerinden ilerletilebilmesinin mümkün olduğu, gönderici şirketin kargonun kaybı veya zayiatı risklerini basiretli bir tacir olarak öngörmesi ve önlemlerini almış olması gerektiği,
  • Diğer taraftan kargonun sehven teslim edildiği ilgisiz üçüncü kişinin ise kendisine ait olmadığını bilmesine ve kargo paketinde alıcı olmadığını görmüş olmasına rağmen paketi hangi sebeple açtığının anlaşılamadığı, söz konusu şahsın kendisine ait olmadığını gördüğü anda kargo paketini açmadan tarafları ile ya da göndericiyle iletişime geçmiş olması durumunda bu olayın meydana gelmeyeceğinin açık olduğu,
  • Bilgi güvenliği yönetimi, kişisel verilerin korunması ve ilgili yasal mevzuata uyum konularının ISO/IEC 27001 belgesine sahip olan kargo şirketinin öncelikle önem verdiği değer ve politikalar arasında olduğu, müşterilerin kişisel verilerinin korunmasına da bu kapsamda önem verildiği

bildirilmiştir.

Tüm taraflarca dosyaya sunulan bilgi ve belgeler göz önünde bulundurularak konuya ilişkin yürütülen inceleme neticesinde, Kurulun 24/03/2022 tarihli ve 2022/277 sayılı Kararı ile;

  • Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (a) bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (g) bendinde “veri işleyen”in veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”  olarak tanımlandığı,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
  • Kanun’un “Kişisel Verilerin Aktarılması” başlıklı 8’inci maddesinde ise “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz. (2) Kişisel veriler; a) 5 inci maddenin ikinci fıkrasında, b) Yeterli önlemler alınmak kaydıyla 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin bulunması hâlinde, ilgili kişinin açık rızası aranmaksızın aktarılabilir. (3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.” hükmüne yer verildiği

Bu çerçevede;

İlgili kişinin kargo paketi içerisine konulan belgelerde yer alan bilgilerinin ve distribütör firmaya gönderim de dâhil olmak üzere bu bilgilere ilişkin olarak veri sorumlusu tarafından yürütülen faaliyetlerin Kanun hükümleri karşısındaki durumu:

  • Somut olayda, ilgili kişiye ait kulaklığın distribütör firma tarafından onarılabilmesi için kargo paketi içine konuldukları ifade edilen ve ilgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusu tarafından distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin Kanun’un 8’inci maddesinin (2) numaralı fıkrasının (a) bendi dikkate alınarak Kanun’un 5’inci maddesinde düzenlenen herhangi bir veri işleme şartına dayanıp dayanmadığı incelendiğinde; anılan kişisel veri işleme faaliyetinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (c) bendinde düzenlenen “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve (ç) bendinde düzenlenen “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması” hukuki şartlarına dayandığı,
  • Öte yandan veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilen belgelerde yer alan ilgili kişiye ait kişisel verilerin mahiyetleri ile ticari hayatın dinamik yapısı ve şartları dikkate alındığında hayatın olağan akışına uygun olduğunun rahatlıkla savunulabileceği düşünülen söz konusu kişisel veri işleme/aktarım faaliyeti bakımından Kanun’un 4’üncü maddesinde belirtilen genel ilkelere açık bir aykırılığın tespit edilemediği, bununla beraber gelecekte ürün onarımı amacıyla veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılmasını ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması gerektiği,
  • İlgili kişinin bazı kişisel verilerini içeren belgelerin veri sorumlusu tarafından bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetine dayanan ve ilgili kişinin şikâyetine esas olan olay veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan yükümlülüğü kapsamında ele alındığında ise; veri sorumlusunun ilgili kişinin kişisel verilerini içeren kargo paketini “göndericisi veri sorumlusu, alıcısı ise distribütör firma” olacak şekilde kargo şirketine teslim etmiş olmasından dolayı Kanun’un 12’nci maddesinin (1) numaralı fıkrasına aykırı herhangi bir eyleminin mevcut olmadığı,

Veri sorumlusu tarafından ilgili kişiye ait kulaklığın ve ilgili kişinin bazı kişisel verilerini içeren belgelerin distribütör firmaya gönderilmesinin amaçlandığı kargo gönderim işlemi kapsamında gerçekleşen hatalı teslimat işleminden haberdar olan veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrasından kaynaklanan bildirim yükümlülüğü:

  • Taraflarca dosyaya sunulan bilgi ve belgelerin incelenmesinden “somut olayda ilgili kişiye ait bazı kişisel verilerin hatalı kargo teslimatı yapılmış olması nedeniyle üçüncü bir şahısça elde edilmesinin ilgili kişi tarafından veri sorumlusundan önce öğrenilmiş olmasının kuvvetle muhtemel olduğu, durumu öğrenmesinden sonra ilgili kişinin veri sorumlusuna bir başvuru yaptığı, anılan başvuruyu takiben veri sorumlusunca ilgili kişiye hatalı kargo teslimat işlemi hakkında bilgi verildiği, ardından ilgili kişinin Kanun’un 14’üncü maddesine istinaden Kurula bir şikâyet ilettiği, söz konusu şikâyetin olayın ilgili kişi tarafından öğrenilmesinin üzerinden takriben 74 saat geçmişken Kurumun elektronik şikâyet sistemine intikal ettirilmiş olduğu ve konuya ilişkin şikâyetin ilgili kişi tarafından Kurumun elektronik şikâyet sistemine intikal ettirildiği an itibarıyla veri sorumlusunun olayı öğrenmesinin üzerinden henüz 72 saatin bile geçmemiş olabileceği” hususlarının anlaşıldığı,
  • Kanun’un “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12’nci maddesinin (5) numaralı fıkrasında “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” şeklinde hükme yer verildiği, 
  • Kurumun resmî internet sitesinde yayımlanan “Kişisel Veri İhlali Bildirim Usul Ve Esaslarına İlişkin Kişisel Verileri Koruma Kurulunun 24.01.2019 tarih ve 2019/10 sayılı Kararına İlişkin Duyuru” başlıklı Kamuoyu Duyurusu’nda ise “(…) Veri ihlal bildirimlerinde, Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkan verecek önlemler alınmasını sağlamak olduğu, öte yandan 6698 sayılı Kanuna kaynak teşkil eden Avrupa Birliğinin 95/46/EC sayılı Direktifini ilga eden Avrupa Genel Veri Koruma Tüzüğünde de veri ihlal bildirimlerine ilişkin olarak Direktifin aksine detaylı düzenlemelere yer verildiği dikkate alındığında (…)” ifadelerine yer verildiği ve Kanun’un 12’nci maddesinin (5) numaralı fıkrasında geçen “en kısa sürede” ibaresinin “72 saat” olarak yorumlanacağı, bu kapsamda veri sorumlusunun ihlal durumunu öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirimde bulunması gerektiğinin bildirildiği,
  • Somut olayda ilgili kişinin bazı kişisel verilerini içeren belgelerin veri sorumlusu tarafından bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinde herhangi bir hukuka aykırılığın bulunmadığı sonucuna ulaşılmış olsa da; kargo paketinin kargo şirketi tarafından hatalı bir şekilde teslim edilmiş olmasından dolayı ilgili kişinin kişisel verilerinin kanuni olmayan bir şekilde üçüncü bir şahıs tarafından elde edildiğini öğrenmesini müteakip veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca konu hakkında ilgili kişiye ve Kurula bildirimde bulunma yükümlülüğünün doğduğu, 
  • Ancak dosya kapsamındaki olgulara ilişkin yapılan tespit ve değerlendirmeler dikkate alındığında; ilgili kişinin şikâyetine esas olan ve ilgili kişinin dışında “ilgili kişi” sıfatını haiz olabilecek başka bir kişiyi doğrudan etkileme ihtimali de bulunmayan olay hakkında –ilgili kişinin başvurusuna cevaben da olsa- Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca en kısa sürede ilgili kişiye bildirimde bulunduğu kabul edilebilecek olan ama Kurula herhangi bir bildirimde bulunmadığı anlaşılan veri sorumlusunca, Kurula bir veri ihlal bildiriminde bulunulmuş olsaydı hatalı kargo teslimat işlemi sebebiyle ilgili kişi hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesine veya en aza indirilmesine imkân verecek ve ilgili kişi tarafından Kurulun yönlendirmesi olmadan düşünülemeyecek ilave herhangi bir önlemin alınıp alınamayacağı konusunda bir çıkarımda bulunulmasının güç olduğu,
  • Kanun’un 12’nci maddesinin (5) numaralı fıkrasında düzenlenen veri ihlal bildirimleri kapsamında Kurula ve ihlalden etkilenmiş kişilere bildirim yapılmasındaki amacın, ihlal nedeniyle bu kişiler hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesine veya en aza indirilmesine imkân verecek önlemler alınmasını sağlamak olduğu, bununla birlikte mezkûr hükmün bir şekilde meydana gelmiş olsalar da ortaya çıkan her türlü veri ihlali vesilesiyle veri sorumlularını mutlak surette cezalandırmak olamayacağı”, “somut olayda ilgili kişinin kişisel verilerinin kanuni olmayan bir şekilde üçüncü bir şahıs tarafından elde edildiğini öğrenmesinin üzerinden ortalama 72 saat geçmemişken –ilgili kişi tarafından yapılan başvuruya cevaben de olsa- ilgili kişiye bilgi verildiği”, “yaşanan hatalı kargo teslimatından ilgili kişi dışında herhangi bir kişinin etkilenme ihtimalinin bulunmadığı”, “olay sebebiyle ilgili kişi hakkında ortaya çıkabilecek olumsuz sonuçların bir an önce önüne geçilmesi veya en aza indirilmesine imkân verecek ve ilgili kişi tarafından Kurulun yönlendirmesi olmaksızın düşünülemeyecek ilave bir önlemin bulunup bulunmadığı konusunun tartışmalı olduğu” ve “konu hakkında veri sorumlusunca Kurula bildirim yapılmamış olmasının ilgili kişinin kişisel verilerinin korunması bağlamında somut nitelikte bir tehlikeye yol açmayabileceği” hususları göz önünde bulundurulduğunda; gelecekte yaşanabilecek benzer olaylar için Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca ilgilisine ve Kurula bildirimde bulunması konusunda veri sorumlusunun talimatlandırılmasının uygun olacağı,

Veri sorumlusu tarafından ilgili kişiye ait kişisel verileri içeren belgelerin de distribütör firmaya gönderilmesinin amaçlandığı ama hatalı teslimatla sonuçlanan kargo gönderim işlemi kapsamında kargo şirketinin rolü ve yükümlülüklerinin Kanun hükümleri karşısındaki durumu:

  • Somut olayda kargo şirketinin bahsi geçen kargo gönderim işlemindeki rolünün de Kanun hükümleri dikkate alınarak incelenmesinin gerektiği, kargo şirketinin ilgili kişinin şikâyetine esas kargo gönderim işlemi kapsamında Kanun’un 3’üncü maddesindeki tanımlar uyarınca “veri sorumlusu” veya “veri işleyen” sıfatını haiz olduğu bir senaryoda Kanun’dan kaynaklanan belli yükümlülüklerinin de gündeme gelebileceğinin açık olduğu,
  • Gerek ilgili kişi ve veri sorumlusunca gerekse de kargo şirketi tarafından dosyaya sunulan bilgi ve belgelerden; şikâyete esas kargo gönderim işleminde tüzel kişiliği haiz veri sorumlusunun “gönderici” sıfatını, tüzel kişiliği haiz distribütör firmanın ise “alıcı” sıfatını haiz olduğu ve ilgili kişinin kargo gönderiminin tarafı olmadığı, buradan da somut olay özelinde kargo içeriğini bilmesinin kendisinden beklenmeyen kargo şirketinin ilgili kişi hakkında veri sorumlusu veya veri işleyen sıfatıyla yürüttüğü herhangi bir kişisel veri işleme faaliyetinin bulunmadığı,
  • Dolayısıyla Kanun’un “Kapsam” başlıklı 2’nci maddesindeki “Bu Kanun hükümleri, kişisel verileri işlenen gerçek kişiler ile bu verileri tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işleyen gerçek ve tüzel kişiler hakkında uygulanır.” hükmüne istinaden somut olaydaki kargo gönderim işlemi özelinde ilgili kişi hakkında doğrudan bir kişisel veri işleme faaliyeti yürütmediği anlaşılan kargo şirketi hakkında Kanun hükümleri uyarınca yapılabilecek herhangi bir işlemin bulunmadığı, zira Kurumun resmî internet sitesinde yayımlanan “Veri Sorumlusu ve Veri İşleyen” başlıklı Rehber’in “Örnekler: Kargo Firmaları” başlıklı alt bölümünde yer alan “Bir kargo firması, bir banka ile müşterilerin kredi kartlarını ilgilisine ulaştırma hizmetini vermek üzere bir sözleşme yapmıştır. Kargo firması gönderenin adı, soyadı, alıcının adresi gibi sevkiyatı yönetmek için elde ettiği veriler bakımından veri sorumlusudur. Ancak, kargo firması her ne kadar kredi kartlarını fiziksel olarak elinde bulundursa da, söz konusu kredi kartı ile ilgili bilgilere ulaşması mümkün değildir. Bu durumda, dağıtım hizmeti sunucusu olarak hizmet veren kargo firması ne veri sorumlusu, ne de veri işleyen statüsündedir. Dolayısıyla, yalnızca taşıdığı fiziksel eşyanın güvenliğini sağlamakla yükümlü olup, kişisel verilerin işlenmesiyle ilgili uyması gereken herhangi bir yükümlülük yoktur.” açıklamalarının da kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketlerinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden de Kanun’dan kaynaklanan bir yükümlülüklerinin bulunmayacağı hususlarını teyit ettiği,
  • Veri sorumlusu tarafından ilgili kişiye ait kulaklığın ve ilgili kişinin bazı kişisel verilerini içeren belgelerin distribütör firmaya gönderilmesinin amaçlandığı kargo gönderim işlemi kapsamında gerçekleşen hatalı teslimat işleminden sonradan haberdar olmuş olabilecek kargo şirketinin Kanun’un 12’nci maddesinin (5) numaralı fıkrasından kaynaklanan herhangi bir bildirim yükümlülüğünün de bulunmadığı, zira somut olayda Kanun’un 3’üncü maddesinde tanımlanan sıfatlardan herhangi birini haiz olmadığı,

değerlendirmelerinden hareketle;

  • İlgili kişiye ait bazı kişisel verileri içeren belgelerin veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilmesinden ibaret olan kişisel veri işleme/aktarım faaliyetinin hukuka uygun olduğu dikkate alındığında, anılan faaliyetten ötürü veri sorumlusu hakkında Kurul tarafından Kanun kapsamında yapılacak herhangi bir işlemin bulunmadığına, 
  • Somut olayda veri sorumlusunca bir onarım işleminin yapılabilmesi için distribütör firmaya gönderilen belgelerde yer alan ilgili kişiye ait kişisel verilerin mahiyetleri göz önünde bulundurularak veri sorumlusu hakkında Kanun kapsamında herhangi bir işlem tesis edilmesine gerek görülmemiş olsa da gelecekte onarım amacıyla veri sorumlusu tarafından onarım firmalarına iletilebilecek kargo paketleri içindeki formlarda minimum düzeyde kişisel veri paylaşılması ve paylaşılan kişisel verilerin de mümkün olduğunca maskelenmesini teminen gerekli önlemlerin alınması hususunda veri sorumlusunun uyarılmasına,
  • Somut olayda veri sorumlusu tarafından ilgili kişiye ait kulaklığın onarımı için distribütör firmaya gönderilen ve ilgili kişiye ait bazı kişisel verileri içeren belgelerin de koyulduğu kargo paketinin kargo şirketinin hatasıyla konudan bağımsız üçüncü bir şahsa teslim edilmesi neticesinde ilgili kişinin kargo paketi içerisindeki kişisel verilerinin kanuni olmayan bir yolla konudan bağımsız üçüncü bir kişi tarafından elde edilmiş olduğu anlaşılmakla birlikte, olayın tüm şartları ve Kanun’un 12’nci maddesinin (5) numaralı fıkrasının amacı gözetildiğinde, ayrıca konuya ilişkin ilgili kişinin bilgisi olduğu dikkate alındığında; veri sorumlusu hakkında Kanun hükümleri dâhilinde yapılacak herhangi bir işlemin bulunmadığına, ancak gelecekte yaşanabilecek benzer olaylar için Kanun’un 12’nci maddesinin (5) numaralı fıkrası uyarınca en kısa sürede hem ilgilisine hem de Kurula bildirimde bulunması konusunda veri sorumlusunun talimatlandırılmasına,
  • İlgili kişinin şikâyetine esas olaylar ve bu olaylardaki rolü ile Kanun’un “Kapsam” başlıklı 2’nci maddesi dikkate alındığında, kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarını haiz olmayacağı ve bu yüzden somut olayda Kanun hükümlerine istinaden herhangi bir sorumluluğunun bulunmadığı anlaşılan kargo şirketi hakkında Kurul tarafından yapılacak herhangi bir işlemin bulunmadığına,
  • Bunlarla birlikte, somut olayda ilgili kişinin hak mağduriyeti yaşamasına neden olabilecek hatalı bir kargo teslim işleminin bulunduğu göz önüne alındığında, anılan hatalı işlemden kaynaklanabilecek hukuki ve/veya cezai sorumluluğun takibi için yargı mercileri nezdinde girişimde bulunabileceği hususunda ilgili kişinin bilgilendirilmesine

karar verilmiştir.

Sonuç olarak; Kişisel Verileri Koruma Kurumu; ilgili kişinin şikâyetine esas olaylar ve bu olaylardaki rolünü dikkate alarak, kargo içeriğine hâkim olması kendisinden beklenemeyecek kargo şirketinin kargo içeriği açısından veri sorumlusu veya veri işleyen sıfatlarına haiz olmayacağı ve bu yüzden somut olayda Kanun hükümlerine istinaden herhangi bir sorumluluğunun bulunmadığı anlaşılan kargo şirketi hakkında Kurul tarafından yapılacak herhangi bir işlemin bulunmadığına karar vermiştir.

Editör: Elif Kosedag