“Aynı isme sahip bir kişi tarafından internet üzerinden sipariş verilirken ilgili kişinin e-posta adresinin kullanılması üzerine faturanın ilgili kişiye gönderilmesi suretiyle kişisel verilerinin işlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 17/03/2022 tarihli ve 2022/243 sayılı Karar Özeti
Karar Tarihi | : | 17/03/2022 |
Karar No | : | 2022/243 |
Konu Özeti | : | Aynı isme sahip bir kişi tarafından internet üzerinden sipariş verilirken, ilgili kişinin e-posta adresinin kullanılması üzerine faturanın ilgili kişiye gönderilmesi suretiyle kişisel verilerinin işlenmesi |
Kuruma intikal eden şikâyette özetle; ilgili kişinin, kendisi ile aynı isme sahip bir şahsın internet üzerinden hizmet veren veri sorumlusuna üye olduğu ve sipariş verdiği, bu şahsın sipariş verilerini verirken ilgili kişiye ait e-posta adresini kullandığı, veri sorumlusunun e-posta adresinin doğruluğunu kontrol etmeden ve onaylamadan üyelik işlemini gerçekleştirmek suretiyle siparişe ilişkin faturayı ilgili kişiye gönderdiği belirtilerek veri sorumlusu hakkında 6698 sayılı Kanun kapsamında gereğinin yapılması talep edilmiştir.
Konuya ilişkin olarak başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişi ile aynı adı taşıyan bir kullanıcı tarafından isim benzerliğinden kaynaklı olarak Şirketlerine sehven “(…)@gmail.com” e-posta adresinin bildirilerek misafir müşteri girişi ile üyelik hesabı oluşturulmaksızın söz konusu siparişin verildiği, söz konusu e-posta adresi için ilgili kişi veya bir başka kişi adına üyelik hesabı bulunmadığı, e-postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya kişiye ait kimlik bilgilerinin işlenmediği,
- Verilerin doğru ve gerektiğinde güncel olmasını sağlamak adına kullanıcılara, üyeliğe ilişkin kişisel verilerini, “hesabım” sayfasında yer alan “üyelik bilgilerim” kısmından değiştirme imkanı sağlandığı ancak Şirketin sisteminde üyelik, e-posta adresine bağlı oluşturulduğundan, mevcut üyelikler için e-posta adresinin değiştirilemediği, bu nedenle yeni bir e-posta adresi kullanmak isteyen kullanıcıların internet sitesi ya da mobil uygulama üzerinden veya müşteri hizmetlerini arayarak kullanmak istedikleri e-posta adresi ile yeni üyelik açtırabilecekleri
- Üçüncü bir kişi tarafından ilgili kişiye ait e-posta adresi ile gerçekleştirdiği üyelik işlemi sırasında eğer ilgili kişiye ait e-posta adresi ile halihazırda bir üyelik oluşturulmuş ise yeni bir kullanıcının aynı e-posta adresi ile yeni bir üyelik oluşturamadığı ancak somut olayda ilgili kişinin “(…)@gmail.com” e-posta adresi ile üyelik hesabı bulunmadığı için başka bir kullanıcı tarafından misafir girişi yaparak isim benzerliği ile sehven bu e-posta adresinin kullanılarak sipariş oluşturulabildiği,
- Misafir girişlerinde, kullanıcıların internet sitesinde kendi istekleri doğrultusunda işlemleri gerçekleştirebilmeleri ve işlemlerin kolaylaştırılması amacıyla e-posta doğrulaması yapılmadığı, internet sitesinde üye olmaksızın misafir müşteri girişi ile yapılan alışverişler esnasında alışveriş yapan kişi tarafından kendisine ait e-posta veya telefon numarası girilmek istenirken, sehven hatalı olarak girilen başkalarına ait e-posta ve telefon numaralarının teyit edilebilmesine yönelik olarak teknik geliştirme çalışmalarına başlandığı, Kurulun 22.12.2020 tarihli ve 2020/966 sayılı İlke Kararı uyarınca alınacak teknik önlemlere ilişkin Kurulun da görüşüne başvurulduğu, tamamen kontrolleri dışında gerçekleşen bu durumun önüne geçmek ve sehven hatalı veri girişlerini engellemek amacıyla planlar yapıldığı,
- Bir başka gönderici tarafından sehven ilgili kişinin e-posta adresinin sisteme girilerek sipariş oluşturulduğu, ilgili kişiye ait e-posta adresi ile ilgili kişiye ait herhangi bir verinin eşleşmediği ve kişiye ait kimlik bilgilerinin işlenmediği, dolayısıyla işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinin somut olayda söz konusu olmadığı ve 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 12’nci maddesinin (5) numaralı fıkrası hükmü ile Avrupa Genel Veri Koruma Tüzüğünde yer alan veri ihlali tanımı dikkate alınarak Kuruma veri ihlal bildiriminde bulunulmadığı
ifade edilmiştir.
Konuya ilişkin yapılan incelemede Kişisel Verileri Koruma Kurulunun 17/03/2022 tarihli ve 2022/243 sayılı Kararı ile;
- Kanun’un 3’üncü maddesinin (1) numaralı fıkrasının (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”; (d) bendinde kişisel verinin, “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem,”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi” olarak tanımlandığı;
- Bu çerçevede şikâyete konu olayda, şikayetçinin uzaktan satış sözleşmesinin tarafı olmayan ilgili kişi, şikayete konu olan … A.Ş’nin veri sorumlusu, ilgili kişinin e-posta adresinin kişisel veri, ilgili kişinin e-posta adresine veri sorumlusu tarafından ilgili kişiye ileti gönderilmesi suretiyle e-posta adresinin kullanılmasının da kişisel veri işleme faaliyeti olduğunun değerlendirildiği,
- Kanun’un, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;
a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Kanun’un “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12’nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağlandığı,
- Şikayete konu olayda, ilgili kişi ile aynı isme sahip bir kişinin üyelik oluşturmadan misafir müşteri girişi ile ilgili kişiye ait e-posta adresini sehven girerek sipariş verdiği, “(…)@gmail.com” e-posta adresi için ilgili kişi veya bir başka kişi için üyelik hesabı bulunmadığı, e-postanın ilgili kişiye ait herhangi bir veriyle eşleşmediği veya ilgili kişiye ait kimlik bilgilerinin işlenmediği, misafir müşteri girişi ile yapılan alışverişler esnasında girilen e-posta ve telefon numaralarının teyit edilebilmesine yönelik olarak henüz bir kontrol mekanizmasının bulunmadığı,
- Sipariş detayları incelendiğinde; gönderici adı, soyadı ve e-posta adresi olarak ilgili kişinin adı, soyadı ve “(…)@gmail.com” e-posta adresinin yer aldığı, bunun yanı sıra alıcı bilgisi olarak üçüncü bir kişinin adresinin açıkça faturada yer aldığı,
- Kişisel veri işleme faaliyetleri bakımından ise her hal ve şartta Kanun’un 4’üncü maddesinde sayılan temel ilkelere uygunluğun sağlanmasının veri sorumlusunun başlıca yükümlülükleri arasında olduğu, şikâyet konusu olayda üye olmadan misafir girişi ile verilen siparişlerde e-fatura gönderiminin temini için e-posta bilgisi beyan edilmeden alışveriş yapılamadığı,
- Öte yandan 05.03.2010 tarihinde yayımlanan 397 sıra numaralı Vergi Usul Kanunu Genel Tebliği ile elektronik fatura (e-fatura) uygulamasının vergi mevzuatımıza dahil edilmiş bulunduğu, söz konusu genel tebliğde belirtilen koşulları sağlayan mükelleflerin kendi istekleri ile seçebileceği bir uygulama olarak başlayan e-fatura uygulamasının zorunlu hale getirildiği, elektronik ticaret ortamı sağlayan gerçek ve tüzel kişi hizmet sağlayıcılarının da e-fatura uygulamasına geçiş yapma zorunluluğu bulunduğu, bu anlamda veri sorumlusu tarafından ilgili kişilere ait e-posta adresinin işlenmesinin Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (ç) bendi gereğince bir hukuki yükümlülüğün yerine getirilmesi amacıyla kişisel verilerin işlenmesi şartına uygun olarak veri işlendiği yönünde değerlendirilebileceği,
- Bununla birlikte faturanın, ticaret ve vergi mevzuatı bakımından işlemin tarafları arasında borç ilişkisinin varlığı veya akdin ifasını gösteren delil niteliğinde bir belge olup ispat ve itiraz aracı olarak kullanılabildiği, çeşitli Yargıtay kararlarında da faturanın bu işlevine dikkat çekildiği, bu çerçevede faturanın doğru muhataba/adrese gönderilmesinin önem taşıdığı, elektronik ortamlar üzerinden yapılan alışverişlerde kişiler tarafından telefon veya e-posta bilgilerinin beyanında yanlışlık yapılması sık karşılaşılabilen bir durum olduğundan faturanın yanlış muhataba/adrese gönderilmesi durumunda hak kaybı yaşanmasının muhtemel olduğu, bu açıdan veri sorumlusunun e-posta adreslerinin işlenmesine yönelik olarak her ne kadar Kanun’un 5’inci maddesi gereğince bir işleme sebebine dayanması söz konusu ise de kişisel verilerin Kanun’un 4’ncü maddesinin (2) numaralı fıkrasının (b) bendinde yer alan “doğru ve gerektiğinde güncel olma” ilkesine uygun işlenmesi hususunda aktif özen yükümlülüğü bulunduğunun da göz ardı edilemeyeceği,
- Veri sorumlusunun, e-posta adresinin alışveriş yapan kişi tarafından kullanılıp kullanılmadığını teyide yönelik gerekli tedbirleri/doğrulama mekanizmalarını uygulamaya alması gerekirken, buna yönelik bir doğrulama mekanizmanın devrede olmadığı, işlem kolaylığı açısından üye olmadan misafir girişi ile yapılan alışverişlerde e-posta doğrulaması yapılmadığının beyan edildiği,
- Söz konusu işlemde bir teyit mekanizmasının bulunmamasının, hak kaybına sebebiyet verebilmesinin yanı sıra internet sitesinde üye olmadan misafir girişi ile yapılan tüm alışveriş işlemlerinin veri ihlal riski taşıdığı anlamına da gelebileceği, faturaların gönderici ve alıcılara ait ad, soyad, T.C. kimlik numarası, adres, telefon, e-posta ve sipariş bilgilerini ihtiva edebildiği, faturanın konu ile ilgisiz üçüncü bir kişiye gönderilmesinin, içerikte yer alan kişisel verilerin olduğu gibi üçüncü bir kişiye açıklanarak bu verilerin başkaları tarafından kötü niyetli olarak kullanılmasına da zemin hazırlayabileceği, nitekim alıcının adresi ve sipariş bilgilerinin de ilgili kişi tarafından öğrenildiği,
- Bu çerçevede, veri sorumlusunun ilgili kişinin e-posta adresinin işlenmesinde Kanun’un 5’inci maddesindeki bir işleme şartına dayanmadığı, dolayısıyla Kanun’un 4’üncü maddesinin (2) numaralı fıkrasının (b) bendi ile Kanun’un 12’nci maddesinin (1) numaralı fıkrasında belirtilen uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik tedbirlerin alınması yükümlülüklerini yerine getirmediği
değerlendirmelerinden hareketle;
- Veri sorumlusunun faturanın gönderileceği alıcı gruplarına yönelik bir teyit mekanizması kurmadan uzaktan satış sözleşmesinin tarafı olmayan ilgili kişinin e-posta adresinin işlenmesine ve dolaylı olarak faturada yer alan gönderici ve alıcıya ait bilgilerinin ise ilgili kişiye açıklanmasına sebebiyet verdiği dikkate alındığında söz konusu işleme faaliyetinde Kanun’un 5’inci maddesinde yer alan herhangi bir işleme şartına dayanmadığı ve bu minvalde Kanun’un 12’nci maddesinin (1) numaralı fıkrasındaki yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında 100.000 TL idari para cezası uygulanmasına,
- “Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında” Kurulun 22.12.2020 tarihli ve 2020/966 sayılı İlke Kararının gereğini yerine getirmesi hususunda uyarılmasına,
- Veri sorumlusunun savunmasında Avrupa Birliği Genel Veri Koruma Tüzüğünün muhtelif hükümlerine ve değerlendirmelere yer verilmiş olduğu görülmüş olup Kanun hükümlerine uyumun sağlanmasının öncelikli olduğu hususunun veri sorumlusuna hatırlatılmasına
karar verilmiştir.
Hazırlayan: Hayrunnisa ORMAN