Kişisel Verileri Koruma Kurulunun 30/09/2021 tarihli 2021/993 sayılı Karar Özeti


“Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi” hakkında Kişisel Verileri Koruma Kurulunun 30/09/2021 tarihli 2021/993 sayılı Karar Özeti

 

Karar Tarihi : 30/09/2021
Karar No : 2021/993
Konu Özeti : Veri sorumlusu kargo firması tarafından ilgili kişi adına sehven fatura düzenlenmesi

 

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; herhangi bir hizmet almamasına rağmen, veri sorumlusu kargo şirketi tarafından ilgili kişinin e-posta adresine kendisi adına düzenlenen bir fatura gönderildiği, kargo gönderim kodu ile yapılan sorguda faturanın bir firmaya teslim edilen kargo işlemine ait olduğunun görüldüğü, faturada yer alan ad, soyadı, adres, e-posta adresi, T.C. kimlik numarası gibi kişisel verilerinin, satın alma işlemini gerçekleştiren firmaya aktarıldığı, konuya ilişkin veri sorumlusuna başvurduğu, verilen yanıtta ise faturalandırma işleminin sehven ilgili kişi adına yapıldığı ve ilgili kişinin bilgilerinin bir kamu kurumu niteliğindeki meslek kuruluşu (meslek kuruluşu) ile veri sorumlusu arasında imzalanan, ilgili meslek kuruluşuna kayıtlı üyelerin indirimli gönderim ücretlerinden yararlanmasını sağlayan sözleşme kapsamında Şirketleri arşivinde bulunduğunun belirtildiği, ilgili meslek kuruluşunun hukuka aykırı şekilde veri sorumlusuna aktardığı kişisel verilerin, veri sorumlusu tarafından kanuni işleme şartına dayanmaksızın işlendiği ve ilgili kişinin kişisel verilerinin silinmesi talebinin veri sorumlusu tarafından yerine getirilmediği ifade edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında veri sorumlusu kargo şirketi hakkında gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;

  • İlgili kişinin 2018-2020 yılları arasında alıcı müşteri olarak kaydının bulunduğu, bu kayıtlarda ad, soyadı, adres, telefon numarası, T.C. kimlik numarası olmak üzeri belirli kişisel verilerinin yer aldığı,
  • Kargo gönderilerinin alıcı tarafına ait kişisel verilerin kargo taşıma sözleşmesinin gereği olarak işlendiği, bu kişisel verilerin 6475 sayılı Posta Hizmetleri Kanunu, Posta Sektörüne İlişkin Yetkilendirme Yönetmeliği, Posta Hizmetlerinin Sunulmasına İlişkin Yönetmelik, Posta Gönderilerine İlişkin Güvenlik Tedbirlerine Yönelik Usul ve Esaslar başta olmak üzere ilgili mevzuat hükümleri uyarınca zorunlu olarak işlendiği, söz konusu kişisel verilerin Kanunun 5 inci maddesinin (1) numaralı fıkrasının (a) bendinde yer alan “Kanunlarda açıkça öngörülmesi”, (c) bendinde yer alan “Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması”, (ç) bendinde yer alan “Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması”, (e) bendinde yer alan “Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması” hukuki sebeplerine dayanarak işlendiği,
  • Türk Ticaret Kanununun 855 inci maddesi uyarınca ileride meydana gelmesi muhtemel uyuşmazlıklarda delil teşkil etmek üzere, her bir taşıma için ayrı ayrı olmak üzere 3 yıl, 5 yıl ve 10 yıllık sürelerle kişisel verilerin saklandığı,
  • İlgili kişinin şikâyetine konu kişisel verilerinin, bir meslek kuruluşu ile imzalanan ve söz konusu meslek kuruluşunun üyelerinin indirimli gönderim ücretlerinden yararlanmasını sağlayan sözleşme kapsamında veri sorumlusunun arşivinde bulunduğu,
  • Şirketin ana müşterisi olan meslek kuruluşu ile yapılan görüşmeler devam etmekle birlikte, söz konusu kayıtların arşivleme sürecinin başlatıldığı, bu kapsamda ilgili kişinin müşteri bilgilerinin söz konusu kampanya dahilinde bir daha gönderim yapılmaması adına gönderici/alıcıya kapatıldığı, 
  • Bu süreçte, söz konusu kampanya kapsamında veri sorumlusunca kişilerin T.C. kimlik numaraları ile meslek kuruluşu üyesi olup olmadıklarının sorgulanabilmesi için ilgili meslek kuruluşunun sağladığı bir sistemin hayata geçirildiği, bu sistemden veri sorumlusuna yalnızca ilgili kişinin meslek kuruluşuna üye olup olmadığını gösterir “True/False” yanıtının iletildiği, bunun dışında başka bir kişisel verinin kendilerine aktarılmadığı,
  • Şikâyete konu faturalandırma işleminin veri sorumlusunun acentesi tarafından sehven gerçekleştirildiği, söz konusu faturanın iptal edildiği ve işlemi gerçekleştiren acente çalışanlarına gerekli uyarıların yapıldığı

ifade edilmiştir. 

Konuya ilişkin yürütülen inceleme neticesinde Kişisel Verileri Koruma Kurulunun 30/09/2021 tarihli ve 2021/993 sayılı Kararı ile; 

  • 6698 sayılı Kişisel Verilerin Korunması Kanununun “Tanımlar” başlıklı 3 üncü maddesinde “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi; “veri sorumlusu”nun ise kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak tanımlandığı, 
  • Kanunun, kişisel verilerin işlenmesine ilişkin “Genel İlkeler”i düzenleyen 4 üncü maddesinin (1) numaralı fıkrasında, “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir.” hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin;

a) Hukuka ve dürüstlük kurallarına uygun olma,
b) Doğru ve gerektiğinde güncel olma,
c) Belirli, açık ve meşru amaçlar için işlenme,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma,
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme

şeklinde sayıldığı,

  • Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesinde;

“(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. (2) Aşağıdaki şartlardan birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür: 
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması. c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması.
d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması.”
hükmünün yer aldığı,

  • Şikâyet dilekçesinde ilgili kişi tarafından kişisel verilerinin işlenmesinin Kanunda gösterilen hukuka uygunluk sebeplerine veyahut ilgili kişinin açık rızasına dayanmadan işlendiği, kişisel verilerinin Kanunda gösterilen hukuka uygunluk sebeplerine veyahut ilgili kişinin açık rızasına dayanmadan veri sorumlusu kargo şirketi tarafından üçüncü kişi ile paylaşıldığı ve kişisel verilerinin silinmesi talebinin yerine getirilmediği iddialarında bulunduğu,
  • Somut olayda veri sorumlusunun, ilgili kişinin kişisel verilerini veri işlemenin hukuki sebepleri kapsamında işlediği, söz konusu meslek kurulu ile yapılan kampanya kapsamında ilgili kişinin üye olup olmadığını tespit edilebilmesi için kullanılan sistem nezdinde işlenen kişisel verilerin Kanunun 5 inci maddesinin (1) numaralı fıkrasının (c) bendi kapsamında sözleşmenin ifasıyla doğrudan ilgili olması hukuki şartına dayanarak işlendiği, veri sorumlusunun kişisel veri işlemesinde hukuka aykırılığının bulunmadığı,
  • Öte yandan ilgili kişinin gönderici veya alıcı sıfatlarıyla veri sorumlusu bünyesinde gerçekleştirdiği işlemlere ilişkin kişisel verilerinin işlenmesinin hukuka uygun olduğu, ancak ilgili kişinin satın almadığı bir hizmet için adına fatura düzenlenmesinin hukuka aykırı bir veri işleme faaliyeti olduğu, hatalı faturalandırma işlemi ile Kanunun 5 inci maddesinin (2) numaralı fıkrasında sayılan veri işleme şartları bulunmadan ilgili kişinin ad, soyadı, TC kimlik numarası, adresi ve e-posta adresi bilgilerinin işlenerek adına fatura düzenlenmesinin hukuka aykırılık oluşturduğu,
  • İlgili kişinin veri sorumlusu tarafından gönderilen kargo zarfında hatalı tahakkuk ettirilen faturada kişisel verilerinin açıkça yer aldığı, dolayısıyla kişisel verilerinin üçüncü kişilerin eline geçtiği iddiasına karşılık bu hususta ilgili kişi tarafından kanıtlayıcı belge sunulamadığı, ancak kargo şirketlerinin gönderi paketleri üzerine gönderici ve alıcıya ait ad, soyadı, adres, telefon numarası gibi kişisel verileri içerir barkod etiketleri yapıştırma uygulaması bulunduğunun bilindiği, buna rağmen, bu etiketlerde yer alan kişisel verilerin maskelenmiş/yıldızlanmış olması ihtimali de bulunduğundan; ilgili kişinin kişisel verilerinin 3. kişilere aktarıldığı iddiasının kanıtlanamadığı,
  • Veri sorumlusu tarafından verilen cevabi yazıda “işlenen kişisel verilerin sözleşmenin kurulması ve ifası ile ileride meydana gelmesi muhtemel uyuşmazlıklarda delil teşkil etmesi amacı ile sınırlı bir şekilde” 6102 sayılı Türk Ticaret Kanununun 855 inci maddesinin (1) numaralı fıkrası uyarınca 1 yıl, aynı maddenin (5) numaralı fıkrası uyarınca 3 yıl ve gerekli olması halinde genel zamanaşımı süresi olan 10 yıl boyunca muhafaza edildiği”, bu nedenle ilgili kişinin kişisel verilerinin anılan süreler sona erdiğinde arşivlenmek suretiyle silineceği veya erişime kapatılacağının belirtildiği,
  • Bu kapsamda veri sorumlusunun, ilgili kişinin kişisel verilerini Kanunda belirtilen süreler boyunca muhafaza etmesinin hukuka uygun olduğu

değerlendirmelerinden hareketle;

  • İlgili kişinin kişisel verilerinin veri sorumlusu tarafından temin edilmesi hukuka uygun olsa da, hukuka uygunluk sebebi bulunmaksızın ilgili kişi adına fatura düzenlenmesi suretiyle gerçekleştirilen kişisel veri işleme faaliyetinin hukuka aykırı olduğu, bu kapsamda veri sorumlusunun Kanunun 12 nci maddesinin (1) numaralı fıkrasının (a) bendi çerçevesinde kişisel verilerin hukuka aykırı olarak işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle; veri sorumlusu hakkında Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında idari para cezası uygulanmasına,
  • Veri sorumlusunun ilgili mevzuat gereği, işlenen kişisel verileri belirli süreler boyunca muhafaza etmesi gerektiğinden, ilgili kişinin kişisel verilerinin silinmesi talebinin yerine getirilmemesinde bir hukuka aykırılık bulunmadığına 

karar verilmiştir.