Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/850 sayılı Karar Özeti


“Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi” hakkındaki ihbara ilişkin Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/850 sayılı Karar Özeti

 

Karar Tarihi : 26/08/2021
Karar No : 2021/850
Konu Özeti : Şikayetçinin ablasının kimlik bilgilerinin numara taşıma işlemi adına bir telekomünikasyon şirketinin bayi çalışanına ait telefon marifetiyle fotoğraflanarak kullanılan sisteme yüklenmesi

 

Kuruma intikal eden ihbarda özetle, şikayetçinin ablası adına kayıtlı hattın taşıma işlemi için bir telekomünikasyon şirketinin bayisine uğradığı, ablasının kimliğinin bayide çalışan bir şahsa ait olan telefon ile fotoğraflandığı, çalışanların fotoğrafı şirketlerine ait bir uygulama üzerinden sisteme yüklediklerini ifade ettikleri, bu uygulamanın şahsî telefonlar üzerinden kullanılmasının, daha sonra işten ayrılan bir şahsın elinde birçok bilginin olmasına sebep olabileceği ve kötü niyetli işlemler yapılabilme riski taşıdığı, telekomünikasyon alanında faaliyet gösteren bir diğer firmanın, benzer bir uygulamayı kurumsal olarak tanımlanmış, IP adresi belirlenmiş, güvenli ve takip edilebilir bir cihazla yaptığı, şikayetçinin bu hususta Bilgi Teknolojileri ve İletişim Kurumuna (BTK) başvurduğu ve şikayete konu şirketin verdiği yanıtta “…..2018 tarihi itibariyle Kimliklerin Dijital Ortama Aktarılması projesini devreye aldığı, bu proje ile kimliklerin dijital ortama aktarılması işleminin gerçekleştirildiği, bu uygulamanın yalnızca mobil cihazlarda çalıştığı, her personelin kendi telefonu üzerinden kendi kullanıcı kodu ve şifresi ile bu sisteme girerek kimliği tarama işlemini gerçekleştirdiği, ancak kimliklerin telefonda saklanması, depolanması ve üçüncü kişilerle paylaşılması durumunun söz konusu olmadığı” ifadelerine yer verildiği, fakat ihbar sahibinin bu durumda dahi müşterilerin kimlik bilgilerinin, veri kurtarma bilişimi sebebiyle tehdit altında bulunduğunu düşündüğü ifade edilerek, konu hakkında gerekli incelemenin yürütülmesi talep edilmiştir.

Konuya ilişkin başlatılan resen inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabî yazıda özetle;

  • Veri sorumlusunun telekomünikasyon sektöründe faaliyet göstermekte olduğundan, BTK mevzuatı kapsamında faaliyetlerini sürdürdüğü ve Numara Taşınabilirliği (hat taşıma) işleminin de ayrıntılı olarak 5809 sayılı Elektronik Haberleşme Kanunu ve ilgili mevzuatlar kapsamında düzenlendiği, 
  • Yine BTK tarafından yayımlanan “Numara Taşınabilirliği Uygulama Sürecine İlişkin Usul ve Esaslar”da numara taşıma işlemi sırasında alınacak bilgilerin, imzalanacak formların ve doğrulama süreci ile ilgili hususların ayrıntısı ile hüküm altına alındığı,
  • Numara taşıma taleplerinde, Numara Taşıma Yönetmeliğinin 7 nci maddesi ve Numara Taşınabilirliği Uygulama Sürecine İlişkin Usul ve Esasların 5 inci maddesinin (2) numaralı fıkrasının a/2 bendi kapsamında; abone tarafından taşınacak olan numaranın, kimlik bilgilerinin, verici işletmeci bilgisinin, irtibat bilgilerinin ve tercih ettiği taşıma zamanının, doldurulan matbu bir form alıcı işletmeye bildirilmesi gerektiği, alıcı işletmecinin söz konusu talep formunu, kimlik bilgileri ve diğer ilgili bilgileri alarak verici işletmeye göndermek üzere söz konusu belgeleri numara taşınabilirliği sistemine yüklemekle yükümlü olduğu, bu kapsamda söz konusu bilgilerin yanı sıra dijital sisteme aktarılmak üzere abone kimliği ve söz konusu işletmeci ile taşıma işleminin gerçekleşmesinden itibaren geçerli olacak şekilde abonelik sözleşmesinin alındığı,
  • Bu kapsamda Şirketin, abonenin numarasının taşınmasına ilişkin imzalı talep formu ile kimliğini, verici işletmeye göndermek üzere elektronik ortamda alarak numara taşıma sistemine ulaştırdığı,
  • Diğer taraftan BTK’nin 28.10.2017 tarih ve 30224 sayılı Resmî Gazetede yayımlanan “Elektronik Haberleşme Sektörüne İlişkin Tüketici Hakları Yönetmeliği”nin “Abonelik sözleşmelerinin kuruluşu ve içeriği” başlıklı 7 nci maddesinin (6) ve (7) numaralı fıkralarının ilgili bentlerinde; abonelik sözleşmelerinin elle atılan imza ile kurulması halinde, işletmecinin, abonelik sözleşmesinin yanında, bireysel aboneliklerde T.C. kimlik numarası ile kimlik belgesinin birer örneğini almakla yükümlü olduğu ve abonelik tesisi için gerekli kimlik belgesi veya muadili belgelerin aslının ibrazını isteyeceği, işletmecinin bu belgelerin örneğini, asılları üzerinden ve yalnızca uygun elektronik ortama aktararak alacağı hükümlerinin yer aldığı,
  • Dolayısıyla veri sorumlusunun, 6698 sayılı Kişisel Verilerin Korunması Kanununun (Kanun) “Kişisel verilerin işlenme şartları” başlığını haiz 5 inci maddesinin (2) numaralı fıkrasında yer alan (a), (c) ve (ç) bentlerinde ifade edilen; “Kanunlarda açıkça öngörülmesi”, “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanarak söz konusu kişisel verileri işlediği,
  • Veri sorumlusunun, bilgi güvenliği politikaları ve BTK düzenlemeleri kapsamında her türlü teknik ve idarî tedbiri aldığı ve bunların, ilgili kişinin başvurusunda belirttiği tedbirlerden daha ileri tedbirler olduğu,
  • Abonelik veya numara taşımaya ilişkin bir başvuru esnasında müşteriden alınacak olan kimlik belgesi örneğinin, uygulama üzerinden elektronik ortamda alınarak veri sorumlusunun merkezî sunucularına aktarıldığı ve ilgili düzenleme gereği muhafaza edilecek şekilde aboneyle ilişkilendirildiği, 
  • Söz konusu uygulamanın yalnızca mobil telefonlarda çalışıyor olduğu ve anılan uygulamada gerekli güvenlik önlemlerinin alındığı, (Alınan güvenlik önlemlerinin ise detaylı şekilde açıklandığı ve tevsik edici belgelerin yazıları ekinde Kuruma sunulduğu görülmüştür)

ifade edilmiştir.

Veri sorumlusundan ilgili cevabın alınmasını müteakip 19.01.2021 tarih ve 2021/55 sayılı Kurul Kararı ile; “... konunun detaylarının ortaya koyulabilmesi adına üç operatör şirketini temsil eden Mobil Telekomünikasyon Operatörleri Derneği’nden (m-TOD) bilgi temin edilmek suretiyle incelemenin devamına...” karar verilmiş ve bahse konu Kurul Kararı uyarınca m-TOD’a başvuru konusu ile ilgili bilgilendirmeler yapılarak;

  • İhbar sahibi tarafından Kuruma intikal ettirilen hususların veri güvenliği ihlali riski oluşturup oluşturamayacağı,
  • Bayi personelinin şahsî cep telefonlarına müşterilerin kimlik fotokopilerini kaydetmesini önlemek maksadıyla, bu işlemin her bayide yalnızca bu işe özgülenen, kurumsal olarak takip edilebilen ve yetkisiz erişimi mümkün olmayan tablet veya cep telefonu gibi bir mobil cihaz vasıtasıyla ya da ilgili kişinin kendisi tarafından gerçekleştirilmesinin operatör şirketleri açısından mümkün olup olmadığı

hususlarında bilgi talep edilmiştir.

m-TOD’un konuya ilişkin cevabî yazısında ise özetle;

  • Derneğin tüm üyelerinin; ürün ve hizmet süreçleriyle ilgili olarak BTK düzenlemelerine uymakla yükümlü olduğu, BTK tarafından konuya ilişkin yönetmeliklerin dijitalleşme trendi göz önüne alınarak güncellendiği ve bu sebeple mobil operatörlerin, abonelik tesis ederken T.C. kimlik numarası ile kimlik belgesini asıllarına uygun olarak elektronik ortama aktararak almak zorunluluğunun bulunduğu,
  • Cep telefonlarının yalnızca mobil operatörlerinin bayi ağında değil, birçok firmanın personeli tarafından iş amaçlı olarak yaygın bir şekilde kullanıldığı, alınan tüm idarî ve teknik tedbirlere rağmen insan faktörü sebebiyle her iş sektörü için riskler doğabildiği, mobil telekomünikasyon sektöründe karşılaşılacak risklerin, diğer sektörlerdeki herhangi bir güvenlik riskinden daha farklı olmayacağı, öte yandan kimlik fotokopisinin alındığı geçmişteki uygulamalara nazaran şimdiki metodun en güvenli metot olduğu,
  • Bayi kanalıyla yapılan abonelik süreçlerinde müşterilerin kimlik fotokopilerinin alınması sürecinin, işletme tarafından özel olarak tahsis edilmiş cihazlar ya da işletmecinin uygulamasının kurulumunun yapıldığı şahsi cihazlar üzerinden yürütülmekte olduğu, bu iki yöntemin de güvenli olduğu, bununla birlikte işletmeci tarafından özel olarak tahsis edilmiş cihazların bayilerde gerçekleştirilen abonelik süreçlerinde kullanımının yaygınlığının artırılması yönündeki çalışmaların sürdürüldüğü,
  • Abonelik ilişkisinin tesisi sırasında kurumsal cihazlar veya personele ait fakat içerisinde güvenlik tedbiri alınmış kurumsal yazılım bulunan şahsî cihazlar vasıtasıyla işlem yapılabildiği ve bu iki usulün de güvenli olduğu ancak ilgili kişinin kendisi tarafından bu işlemlerin gerçekleştirilmesinin mümkün ve güvenli olmayacağı, zira bu suretle uygulamanın yetkisiz erişime açılmış olacağı ve kötü niyetli kullanım olasılığının artacağı, uygulamanın uç tarafında ise işletme servisleriyle entegrasyon bulunduğu ve ilgili kişilerin bu sisteme erişmesinin yüksek dereceli güvenlik riski doğurabileceği, ayrıca herkesin bu uygulamaları kullanmaya yetkin telefonunun olmaması nedeniyle sistemde yeknesaklık sağlanamayacağı

belirtilmiştir.

Söz konusu resen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 26/08/2021 tarihli ve 2021/850 sayılı Kararı ile; 

  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
şeklinde sayıldığı,

  • Kanunun “Kişisel Verilerin İşlenme Şartları” başlıklı 5 inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
  • Kanunun “Veri Güvenliğine İlişkin Yükümlülükler”i düzenleyen 12 nci maddesinin (1) numaralı fıkrasında veri sorumlusunun, kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idarî tedbirleri almak zorunda olduğunun hükme bağladığı, anılan maddenin (3) numaralı fıkrasında veri sorumlusunun, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak ile yükümlü kılındığı,
  • İhbar sahibinin veri sorumlusu bünyesinde çalışan personellerin abonelik veya numara taşıma işlemleri sırasında müşterinin kimlik belgesinin fotoğrafını kendi şahsî cep telefonlarıyla çektiklerini ifade ederek, bu durumun veri güvenliğini tehlikeye düşürdüğünü iddia ettiği, veri sorumlusunun da bu metodu kullandığını doğruladığı fakat veri sorumlusunun; söz konusu kimlik bilgilerinin, konuyla ilgili mevzuattan kaynaklanan yasal zorunluluk gereği alınıp elektronik ortama aktarıldığını, bu aktarım işlemini gerçekleştiren uygulamayla ilgili her türlü teknik ve idarî tedbirin alındığını, müşteri kimlik bilgilerinin asla şahsî telefonlarda depolanmadığı ve uygulamadaki tedbirler sayesinde veri sorumlusunun çalışanlarının çekilen kimlik fotoğraflarına tekrar erişemediği hususlarını ifade ederek, bu verileri işlemenin yasal ve güvenli olduğunu savunduğu,
  • Veri sorumlusunun, ilgili verileri, Kanunun “Kişisel verilerin işlenme şartları” başlığını haiz 5 inci maddesinin (2) numaralı fıkrasında yer alan (a), (c) ve (ç) bentlerinde ifade edilen; “Kanunlarda açıkça öngörülmesi”, “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması” ve “Veri sorumlusunun hukukî yükümlülüğünü yerine getirebilmesi için zorunlu olması” şartlarına dayanarak işlediği ve bu yönden ilgili veri işleme faaliyetlerinin hukuka uygun olduğu,
  • Öte yandan veri sorumlusunun, müşterilere ait kimlik belgelerinin üzerinden temin edildiği uygulamanın çalışmasına dair makul teknik tedbirleri aldığı ve bunun yanı sıra bahse konu uygulamayı kullanan personele yönelik de gizlilik taahhütnameleri imzalatmak, eğitim vermek, farkındalık duyuruları yayınlamak gibi idarî tedbirlere de başvurduğu, bu kapsamda veri sorumlusunun, Kanunun 12 nci maddesinde belirtilen yükümlülüklerini yerine getirdiği,

değerlendirmelerden hareketle,
 

  • Numara taşıma işlemi sırasında ilgili kişilerin kimlik fotokopilerinin alınmasının mevzuatta öngörülmüş olması sebebiyle bahse konu durumun Kanuna ve ilgili mevzuata aykırılık teşkil etmediğine,
  • Veri sorumlusu tarafından uygulamanın çalışmasına ilişkin alınmış olan teknik ve idarî tedbirlerin makul olduğu değerlendirildiğinden somut hadisede Kanunun 12 nci maddesinde belirtilen yükümlülüklere aykırı bir husus bulunamadığına, 
  • Bununla birlikte, Kanunun 4 üncü maddesinin (2) numaralı fıkrası çerçevesinde, kişisel verilerin işlenmesindeki genel ilkelere uyum sağlanması noktasında veri sorumlusunun personelin şahsî cihazlarından ziyade bayilere tanımlanmış, düzenli olarak denetlenen ve takibi yapılan kurumsal cihazlar vasıtasıyla iş ve işlemlerinin yürütülmesi usulünün hızlandırılması hususunda talimatlandırılmasına,
  • Öte yandan Kanunun 10 uncu maddesinde düzenlenen aydınlatma yükümlülüğünün gereklerinin yerine getirilmesini teminen bayilerde numara taşıma işlemi yapan ilgili kişilere kurumsal bir uygulama üzerinden kimlik fotokopilerinin kayıt edildiğine dair aydınlatmanın yapılması hususunda veri sorumlusunun talimatlandırılmasına

karar verilmiştir.