Son günlerde bazı mağazalar,senetli alışverişler için müşterilerinden e-devlet şifresi ve TC kimilik numarası istemektedirler. İstediği ürünü almak için  E-devlet şifrelerini ve kimlik numaralarını paylaşan müşterilerin  verilerinin güvenliği konusundaki endişeleri ise gün geçtikçe büyükmektedir.

Peki mağazaların bu talepleri hukuka uygun mudur?

Bilindiği üzere kişilerin adı soyadı, e-devlet şifresi , TC kimlik numaraları kişisel veri niteliğindedir. Kişisel verilerin hangi şartlarda işlenebileceği ise 6698 Sayılı Sayılı Kişisel Verilerin Korunması Kanunu'nda ifade edilmiştir.

6698 Sayılı Kişisel Verilerin Korunması Kanunu'nun  “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu ifade edilmiştir.

Senetli alışverişler için alınan e-devlet şifresi ve kimlik numarası verisi kanunun aradığı veri işleme şartlarının hiçbirini sağlamamakta olup, bu yolla veri toplamak hukuka aykırıdır.Veri sahipleri her ne kadar bilgilerini kendileri söyleyerek açık rıza veriyormuş gibi görünse de, kişinin bilgilerini iletmesi açık rızanın gerekli unsurlarını taşımamaktadır.

Açık rıza, Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde ‘Belirli konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ şeklinde tanımlanmaktadır.  Buna göre, açık rızanın ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılması gerekmektedir.  Rızanın özgür iradeyle verilmiş olması için  kişilerin verileri üzerinde kontrol hakkına sahip olması ve bireylere gerçek bir seçim hakkının tanınmış olması gerekmektedir.Birey rıza vermemenin sonucunda hizmetten yararlanamıyor ise yani reddin bir yaptırımı var ise bu bireyin karar verme mekanizmasını etkileyecek bir duruma sebebiyet vereceğinden rızanın varlığından bahsedilemez.

Nitekim konuya ilişkin olarak Kişisel Verileri Koruma Kurumu 17.02.2022 tarih, 2022/137 Karar sayılı kararında, bu suretle veri toplayan veri sorumlusuna 300.000-TL idari para cezası uygulamıştır.

Kurul ayrıca ilgili veri sorumlularını bugüne kadar alınan kişisel verileri imha etmeleri yönünde talimatlandırmıştır.

İlgili karada şu ifadelere yer verilmiştir : "

  • Veri sorumlusu tarafından kredilendirmeye esas olarak senetle yapılan alışveriş için ilgili kişilere ait sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan kişisel, mali ve ekonomik verilerin işlendiği, verilerin ilgili kişilerin mali gücünü doğrulama amacıyla işlendiği, veri sorumlusu tarafından işlenen verilerin kanundan ve işin gereklerinden kaynaklanan veriler olduğu, muhtemel müşteri ile iletişime geçilerek verilecek ürün ile ilgili ödeme gücünün tespit edildiği gibi genel nitelikte ve muğlak ifadelere yer verildiği görülmekte olup bu kapsamda ilgili kişilerin hangi verilerinin, Kanunda yer alan hangi veri işleme şartına dayalı olarak işlendiğinin anlaşılamadığı, bu kapsamda, veri sorumlusu her ne kadar sözleşmenin kurulması ve ifasıyla doğrudan ilgili olan veriler olduğunu iddia etse de ödeme gücü tespit edilmeksizin de sözleşmenin kurulmasının mümkün olabileceği ile söz konusu ödemenin aksaması/yapılmaması halinde hukuki yollara başvurulması suretiyle ödemenin yapılmasının sağlanabileceği kanaatine varıldığı, diğer bir deyişle, veri sorumlusu tarafından ilgili kişilerin ekonomik durumuna ilişkin kişisel verilerin işlendiği ve söz konusu verilerin işlenmesinin hukuka uygunluğu noktasında belirsizlik bulunduğu

tespit ve değerlendirmelerinden hareketle;

  • Veri sorumlusu tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresinin, internet sayfasında üyelik oluşturulması için de T.C. kimlik numarasının temin edilmesinin zorunlu kılınması suretiyle gerçekleştirilen kişisel veri işleme faaliyetlerinin Kanunun 5 inci maddesinde yer alan veri işleme şartlarından herhangi birine dayanılmaksızın gerçekleştirildiği, öte yandan veri sorumlusunun internet sitesindeki üyelik başvurusu ile ilgili sayfada T.C. kimlik numarası girilmek suretiyle daha önce internet sayfasına üye olan kişilerin kişisel verilerinin üçüncü kişilerce görüntülenebilir olması hususunun veri güvenliği açığına işaret ettiği sonucuna varılmakta olup bu hususların Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun, bugüne kadar sözlü görüşmeler ve/veya internet sitesi aracılığıyla ilgili kişilerden temin ettiği e-Devlet şifrelerini ve T.C. kimlik numaralarını Kanunun 7 nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde imha etmesi ve imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile birlikte Kurula bilgi vermesi hususunda talimatlandırılmasına,
  • Veri sorumlusunun internet sitesinde hesap oluşturma sayfasında sisteme daha önce üye olmuş kişilerin kişisel verilerinin görüntülenmesine sebebiyet veren güvenlik açığının ivedilikle giderilmesi, T.C. kimlik numarası temin edilmeksizin üyelik oluşturulabilmesi adına sistemin güncellenmesi ile bu işlemlere ilişkin Kurula en geç otuz gün içinde bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Öte yandan, söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; ancak veri sorumlusu tarafından bu hususta Kanunun 12 nci maddesinin (5) numaralı fıkrası çerçevesinde Kurula bildirimde bulunma yükümlülüğünün yerine getirilmediği dikkate alındığında, konuya ilişkin olarak Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde resen inceleme başlatılmasına karar verilmiştir."

Bu sebeple alışverişler sırasında e-devlet şifresi ve kimlik numarası istenilmesi hukuka aykırı olup, bu yolla veri toplayan veri sorumlularının idari ve cezai yaptırımla karşılaşmamak için uygulamalarına ivedilikle son vermeleri gerekmektedir.

Av. Esra Ülkü BAYRAM

2023 Yılı KVKK İdari Para Cezaları Belirlendi! 2023 Yılı KVKK İdari Para Cezaları Belirlendi!

Editör: Av. Esra Ülkü Bayram