Türkiye

Kişisel Verileri Koruma Kurulunun 17/02/2022 tarih ve 2022/137 Sayılı Kararı (Veri sorumlusu bir alışveriş merkezi tarafından senetli alışverişler için ilgili kişilerden e-Devlet şifresi, internet sayfasında üyelik oluşturulması için ise T.C. kimlik numarası temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi)

23 Mart 2022 /

Konu

 

Veri sorumlusu bir alışveriş merkezi tarafından, senetli alışverişler için ilgili kişilerden e-Devlet şifresi ayrıca internet sayfasında üyelik oluşturulması için T.C. kimlik numarası temin edilmesi suretiyle kişisel verilerin hukuka aykırı işlendiğine dair Kuruma ihbarda bulunulmuştur

 

Olay

 

Kuruma intikal edilen ihbarda; veri sorumlusu bir alışveriş merkezinin, internet sitesinde senet ile telefon satın alma başvurusu yapıldığı esnada ilgili kişilerden e-Devlet şifrelerinin istenildiği, bu durumun 6698 Sayılı Kanun’a aykırılık teşkil ettiği belirtilerek gereğinin yapılması talep edilmiştir. Ayrıca yine ihbar dilekçesinde veri sorumlusunun internet sitesinde ‘Kasaya Git’ sekmesi altındaki sayfada “Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyorsanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır.” şeklinde bilgilerin yer aldığı ekran görüntüsüne yer verildiği görülmüştür.

 

Veri Sorumlusunun Savunması

 

  • Veri sorumlusunun yerleşik işyerlerinde veya web sitesinde perakende satış hizmeti sunduğu hizmete ilişkin kanundan/satış sözleşmesinin gereklerinden kaynaklanan kişisel verileri satış Sözleşmesini gereği gibi ifa etmek amacıyla otomatik olan yahut otomatik olmayan yollarla bir veri kayıt sisteminin parçası olmak üzere uhdesinde bulundurduğu, bunun haricinde e-Devlet şifresinin taraflarınca istenmediği, ilgili alanın başkaca bir görselin parçası olduğu, format olarak dahi girilip doldurabilen bir alan olmadığı, JPG jpg formatında olan bir alan olduğu ve taraflarınca fark edilmesiyle ivedilikle kaldırıldığı,
  • Ayrıca senetle yapılan sözleşmeye ilişkin kişilere ait kişisel, mali ve ekonomik verilerin işleme ilkelerine uyularak işlendiği,
  • İlgili verilerin doğrulama yapılması, sözleşme ilişkilerinin yürütülmesi, mal/hizmet satış süreçlerinin yönetilmesi, müşteri ilişkileri süreçlerinin sürdürülmesi, senet borcundan kaynaklı hukuki süreçlerin yürütülmesi amaçlarıyla işlendiği, saklandığı ve gerektiğinde imha edildiği,
  • İnternet sitelerine üye olan kişiler ya da ziyaretçilerin veyahut muhtemel müşterilerin ad-soyadı, iletişim, adres gibi bilgilerinin siteye kaydolmaları, ziyaret etmeleri veya muhtemel müşteri olmalarına göre amaç ve konuyla ilişkili olarak; işlendiği bu bilgilerin, satış, pazarlama, analiz çalışmalarının yürütülmesi amacıyla işlendiği,
  • Firma satışlarının birçoğunu oluşturan “Sözleşmeli Alışverişler” için internet üzerinden uygun bir ekran formatında olan bir alan olduğu ve taraflarınca fark edilince ivedilikle kaldırıldığıbu alanda alınacak e-Devlet şifre girişi için teknik donanım bulunmadığını, kurumdan yapılacak denetimlere açık olduklarını belirtmişlerdir.

 

 

Kurulun İncelemesi

 

  • Somut olayda, veri sorumlusu tarafından e-Devlet şifresinin istenildiği alanın JPG formatı olduğu iddia edilmiş olsa dahi internet sitesine ilişkin ekran görüntüsü incelendiğinde Kasaya Git sekmesi altındaki sayfada kırmızı renk ile yazılmış “Dikkat Senetli alışverişte onay sürecinizin başarıyla tamamlanmasını istiyor-sanız aşağıdaki alana e-Devlet şifrenizi giriniz. Siparişi Onaylıyorum butonuna basıldığında otomatik olarak doğrulama yapılacaktır.” bilgilendirmesinin yer aldığı ve e-Devlet şifresinin girilebildiği bir kutucuk ile SİPARİŞİ ONAYLIYORUM başlıklı bir bölüm olduğu, tüm adımlar takip edildiğinde e-Devlet şifresinin girileceği alanın JPG formatında olmasının herhangi bir amaca hizmet etmediği, veri sorumlusu da her ne kadar e-Devlet şifresini istemediklerini, ilgili alanın başka bir alana ait görsel olduğunu belirtmiş olsalar dahi bu durumu tevsik edici bir belge sunmadığı, hatta ihbara konu ekran görüntüsünün taraflarınca fark edilmesiyle ivedilikle kaldırıldığını beyan ettiği,
  • İhbara ilişkin ekran görüntüsünde yer alan sayfanın veri sorumlusunun kontrolü dışında görüntülenmesinin mümkün olmadığı, mümkün olduğu varsayımında veri sorumlusunun kendi internet sitesinde gerçekleştirilmesi muhtemel kişisel veri işleme faaliyetlerinin kontrolünü sağlayama-dığına, dolayısıyla gerekli teknik ve idari tedbirleri almadığına işaret ettiği,
  • Senetli alışverişlerde müşterilerin e-Devlet şifrelerinin temin edilmesi suretiyle, ilgili kişilerin e-Devlet kapısında kendileriyle ilgili yer alan her türlü bilgiye veri sorumlusunca erişilebilme tehlikesi ile karşı karşıya kalacakları,
  • Söz konusu e-Devlet şifresinin anlam ifade etmesi için siteye üye olan kullanıcıların veyahut muhtemel müşterilerin T.C. Kimlik numaralarına da erişilmesi ve ilgili kişilere aydınlatma yapılarak rıza alınması gerekmektedir. Site incelendiğinde “TCKN bilgisi dışındaki diğer alanlar, TCKN bilgisi girildikten sonra aktifleştirilecektir.” İfadelerine yer verildiği, ayrıca internet sitesine rastgele bir T.C Kimlik numarası girildiğinde “T.C Kimlik No geçersizdir” uyarısı ile karşılaşıldığı, söz konusu doğrulamanın nasıl bir veri tabanı ile sağlandığının anlaşılamadığı, üyelik oluşturma sayfasında rastgele numaralar girilerek deneme yapıldığı zaman başka kişilerin adreslerine ilişkin A*** A*** İ*** Cad. S*** Sok. No:** bilgilerinin görüntülendiği, böylelikle yalnızca bir kişinin T.C. kimlik numarasını ve söz konusu sayfaya üye olduğunu bilen bir kişinin ilgili kişinin adres bilgilerine ulaşmasının olası olduğu, ayrıca söz konusu güvenlik açığının 6698 Sayılı Kanunun 12 nci maddesinin (5) numaralı fıkrası çerçevesinde Kurula bildirimde bulunma yükümlülüğünün yerine getirilmediği,
  • Kurum’un yaptığı resen inceleme neticesinde veri sorumlusunun internet sitesinden yaptıkları alışverişlerle ilgili sorunlar yaşayan başka kişilerin de olduğu, e-Devlet şifresini de veri sorumlusu ile paylaştıklarını ve endişe duyduklarının görüldüğü,
  • C Kimlik Numarası ve e-Devlet şifresi her ne kadar açık rıza ile işleniyormuş gibi görünse dahi Kanunun 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde ‘Belirli konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza’ şeklinde tanımlandığı, buna göre, açık rızanın ilgili kişinin kendisiyle ilgili veri işlenmesine, özgürce, konuyla ilgili yeterli bilgi sahibi olarak, tereddüde yer bırakmayacak açıklıkta ve sadece o işlemle sınırlı olarak verdiği onay beyanı şeklinde anlaşılması gerektiği, rızanın verilmiş olmasının bireyin özgür seçiminde olması, birey rızayı vermediğinde hizmetten yararlanamıyor ise bireyin özgürce karar verme mekanizmasını etkileyeceğinden somut olayda; online bir alışveriş sitesinden alışveriş yapmak için istenene verilerin sözleşmenin gerektirdiği nitelikteki verileri aşacak nitelikte olduğu, bu bilgiler verilmeden üye olunamadığı veyahut alışveriş yapılamadığı görülüyorsa – aktif üyelik için T.C Kimlik Numarasının yazılmasının zorunlu olması ve senet alışverişini onaylamak için e-Devlet şifresinin girilmesinin zorunlu olması- bireye gerçek seçimlik hakkı sunulmadığı ve alınan rızanın geçerli bir rıza olamayacağını, hal böyle iken Kanunun 5 inci maddesinde yer alan veri işleme şartlarına dayanılmaksızın işlemenin gerçekleştirildiği,

Öte yandan veri sorumlusunun senet alışverişine ilişkin alınan kişisel verilere dair, sözleşmenin kurulması veya ifa edilmesiyle doğrudan ilgili olan kişisel, mali ve ekonomik verilerin işlendiği,  gücünü tespit ettiği, verilerin ilgili kişilerin mali gücünü doğrulama amacıyla işlendiği, veri sorumlusu tarafından işlenen verilerin kanundan ve işin gereklerinden kaynaklanan veriler olduğu, muhtemel müşteri ile iletişime geçilerek verilecek ürün ile ilgili ödeme gücünün tespit edildiği gibi genel nitelikte ve muğlak ifadelere yer verildiği görülmekte olup bu kapsamda ilgili kişilerin hangi verilerinin, Kanunda yer alan hangi veri işleme şartına dayalı olarak işlendiğinin anlaşılamadığı, kişinin ekonomik gücünün tespit edilmediği/edilemediği hallerde de sözleşme yapılmasının mümkün olduğu, söz konusu sözleşmeye ilişkin ödemeler yapılamadığı taktirde hukuki yollara başvurulabileceği, hal böyle iken söz konusu verilerin işlenme gerekçesinin hukuka uygunluğu            açısından belirsizlik bulunduğu durumları değerlendirilmiştir.

 

İlgili Maddeler

 

  • 6698 / md 3/d-e-ı
  • 6698 / md 4/1-2
  • 6698 / md 5/1-2
  • 6698 / md 7
  • 6698 / md 12/1-a-b-c/5
  • 6698 / md 18/1-b

 

Karar

 

  • Veri sorumlusu açısından senetli alıverişler için e-Devlet şifresinin istenmesi, üyelik için ise T.C kimlik numarasının istenmesi, ayrıca T.C kimlik numarası bilinen kişinin üçüncü kişilerce adresinin görüntülenebilir olması hususu veri güvenliği açığına işaret etmesi sebebiyle; Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil etmesi nedeniyle, kişisel verilerin işlenmesinde veri güvenliğini sağlamaya yönelik gerekli teknik ve idari tedbirleri alma yükümlülüğünü yerine getirmeyen veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 300.000 TL idari para cezası uygulanmasına,
  • Veri sorumlusunun bugüne kadar sözlü görüşmeler veya internetten temin ettiği e-Devlet şifrelerini ve T.C Kimlik Numaralarını Kanunun 7nci maddesine ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmeliğe uygun bir biçimde imha etmesi ve imha işlemlerinin yapıldığını kanıtlar nitelikteki belgeler (log kaydı gibi) ile birlikte Kurula bilgi vermesi hususunda talimatlandırılmasına,
  • Veri sorumlusunun internet sitesinde hesap oluşturma sayfasında kişisel verilerin üçüncü kişilerce görüntülenmesine sebep olan veri güvenlik açıklığının ivedilikle giderilmesi, T.C Kimlik Numarası girilmeden üyelik oluşturulabileceği bir güncelleme yapmasına, Kurula en geç 30 gün içinde bu konuda bilgi verilmesi yönünde veri sorumlusunun talimatlandırılmasına,
  • Söz konusu güvenlik açığının veri sorumlusu nezdindeki kişisel verilere hukuka aykırı olarak üçüncü kişiler tarafından erişim sağlanmasına sebebiyet vermiş olduğu; ancak veri sorumlusu tarafından bu hususta Kanunun 12 nci maddesinin (5) numaralı fıkrası çerçevesinde Kurula bildirimde bulunma yükümlülüğünün yerine getirilmediği dikkate alındığında, konuya ilişkin olarak Kanunun 15 inci maddesinin (1) numaralı fıkrası çerçevesinde resen inceleme başlatılmasına

karar verilmiştir.

 

Kaynak: https://www.kvkk.gov.tr/Icerik/7192/2022-137

Bunlara da bakmak isteyebilirsin

Kişisel Verileri Koruma Kurumu’nun 23.12.2021 tarihli ilke kararı: Ortak Veri Sorumlusu ve Kara Listeler
25 Ocak 2022
Türkiye- Karar Özeti: “İlgili kişinin kripto varlık hizmet sağlayıcısı nezdinde bulunan üyeliğinin seviyesinin artırılması için gereğinden fazla kişisel veri talep edilmesi hakkında”
9 Ocak 2024
Türkiye -“Bir sigorta şirketinin acentesinde gerçekleşen veri ihlali hakkında” Kişisel Verileri Koruma Kurulunun 16.06.2020 tarih ve 2020/466 sayılı Karar Özeti
6 Temmuz 2021

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!