Kişisel Verileri Koruma Kurulunun 05/01/2023 tarihli ve 2023/4 sayılı Karar Özeti


“Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması” hakkında Kişisel Verileri Koruma Kurulunun 05/01/2023 tarihli ve 2023/4 sayılı Karar Özeti

 

Karar Tarihi : 05/01/2023
Karar No : 2023/4
Konu Özeti : Bir kargo firmasının çapraz barkodlama hatası nedeniyle kişisel verilerin hukuka aykırı olarak paylaşımına sebep olması

 

İlgili kişinin şikayetinde özetle; bir e-ticaret firmasından satın aldığı ürünü tarafına teslim edecek kargo firmasının siparişi ilgili kişiye teslim etmesini müteakip ilgili kişi tarafından kargo paketinin üzerinde kendisi dışında isim benzerliği bulunan başka bir kişiye (üçüncü kişi) ait adres ve iletişim bilgilerinin yer aldığını gördüğü, veri sorumlusu kargo firmasına 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında başvuruda bulunarak kendisi dışında üçüncü kişiye ait kişisel verilerin hangi hukuki gerekçeyle tarafına gönderildiği, benzer şekilde kendisine ait kişisel verilerin de üçüncü kişilere aktarılıp aktarılmadığı ve aktarıldıysa hangi hukuki nedenlere dayanılarak aktarıldığı hususlarına ilişkin bilgi talep ettiği, veri sorumlusu tarafından verilen cevabi yazıda söz konusu durumun barkodlama işlemi sırasında gerçekleşen bir hata sonucunda meydana geldiğinin ve ilgili kişiye ait gönderinin üçüncü kişiden iade alınarak gönderici firmaya teslim edildiğinin belirtildiği, söz konusu beyanlardan hareketle veri sorumlusunun yapmış olduğu çapraz kargo gönderimi hatası nedeniyle ilgili kişiye teslim edilmesi gereken kargo paketinin üçüncü kişiye gönderildiği ve bu suretle ilgili kişiye ait kişisel verilerin üçüncü kişi ile paylaşıldığı sonucuna varıldığı, bu itibarla veri sorumlusunun hem ilgili kişiye hem de üçüncü kişiye ait kişisel verileri Kanun’un 8’inci maddesine aykırı olarak aktardığı belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş olup veri sorumlusundan alınan cevabi yazıda özetle;

  • Şikâyete konu olayın meydana geliş şekline ilişkin olarak; veri sorumlusu tarafından ilgili kişiye gönderilmek üzere faturalandırılan gönderinin acente personeli tarafından toplu şekilde barkodlama işlemi yapılırken aynı isimli başka bir müşteriye ait gönderi ile isim benzerliği nedeniyle karıştırıldığının ve çapraz barkodlama hatası yapıldığının tespit edildiği, bu nedenle bir diğer müşterileri olan üçüncü kişinin kargosunun ilgili kişiye, ilgili kişinin kargosunun ise üçüncü kişiye teslim edilmek üzere barkodlandığı ve bu şekilde ulaştırıldığı, işlemin fark edilmesiyle birlikte şikâyetçi müşteriye ait gönderinin diğer müşterileri olan üçüncü kişiden alınarak gönderici firmaya iade edildiği,
  • Gerçekleştirilen bu eylemin sistematik bir hata olmadığı, veri sorumlusunun acente çalışanları tarafından manuel olarak gerçekleştirilen barkodlama işlemi sırasında bir kereye mahsus olmak üzere sehven ortaya çıkan bir olay olduğu, 
  • Veri sorumlusunun müşterilerine ait kişisel verileri yalnızca taşıma hizmetinin ifası için ilgili birimlerle, ifa yardımcılarıyla, Bilgi Teknolojileri ve İletişim Kurumu, talep halinde Ulaştırma Denizcilik ve Haberleşme Bakanlığı ve kanunen kişisel verileri talep etmeye yetkili kamu kurumları ile paylaştığı,
  • Bu çerçevede ilgili kişinin ve yine veri sorumlusundan hizmet alan hiçbir müşterinin kişisel verisinin istenmeden yaşanan münferit olay dışında üçüncü kişilerle paylaşılmadığı, bu güvenliğin sağlanabilmesi için idari ve teknik pek çok önlemin alındığı, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarınca gerekli oldukça geliştirildiği ve güncellendiği,
  • Veri sorumlusunun taşıma hizmeti kapsamında belli bilgileri kargo/gönderi üzerine yazmasının Karayolu Taşıma Kanunu’nun 43’üncü maddesi gereğince bir yükümlülük olduğu, dolayısıyla alıcıların isim ve adres bilgilerinin kargo üzerinde yazdığı, 
  • Veri sorumlusunun belli taşıyıcılık faaliyetlerini, akdettiği acentelik sözleşmeleri vasıtasıyla yürüttüğü, şikâyete konu işlemin de bir acentenin istihdam ettiği personel tarafından yapıldığı, 
  • Veri sorumlusunun hizmetlerin güvenliği konusunda hassas davrandığı ve mezkûr vakıada da kasıtlı bir eyleminin bulunmadığı, kargo dağıtım süreçlerinde istemeden de olsa yaşanan bu gibi aksaklıkların önüne geçilebilmesi için acentelere ve ilgili tüm birim personeline gerekli bildirimlerin sıklıkla gerçekleştirildiği, çalışanlara yükümlülükleriyle ilgili düzenli eğitimlerin verildiği ve farkındalık çalışmaları yapıldığı, nitekim söz konusu acentenin çalışanlarına da kişisel verilerin korunmasına ilişkin muhtelif tarihlerde eğitimler verildiği, belirli aralıklarla hatırlatma SMS’leri gönderildiği,
  • Veri sorumlusu tarafından kişisel verilerin korunmasına yönelik bilgilendirme ve aydınlatmaların yerine getirildiği, firmalarının bilgi ve kişisel veri güvenliği konusunda da uluslararası standartları haiz bir kurum olduğu, kişisel verilerin korunmasının ve ilgili yasal mevzuata uyumun öncelikli önem verdiği değer ve politikalar arasında olduğu, bu konunun en önemli bölümlerinden birini müşterilerinin kişisel verilerinin korunmasının oluşturduğu, 
  • İzah ettikleri üzere yaşanan olayda veri sorumlusunun kasıtlı bir eyleminin bulunmadığı, tekrarlanmaması için gerekli hassasiyet ve özenin gösterileceği 

bildirilmiştir. 

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 05/01/2023 tarihli ve 2023/4 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının (a)  bendinde açık rızanın, “belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan rıza”, (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”, (ğ) bendinde veri işleyenin “veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi” olarak tanımlandığı,
  • Kanun’un, kişisel verilerin işlenmesine ilişkin "Genel İlkeler"i düzenleyen 4’üncü maddesinin (1) numaralı fıkrasında, "Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir." hükmünün yer aldığı, bahse konu maddenin (2) numaralı fıkrasında ise kişisel verilerin işlenmesinde uyulması zorunlu olan ilkelerin; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma, d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme şeklinde sayıldığı,
  • Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi; fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması; bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması; ilgili kişinin kendisi tarafından alenileştirilmiş olması; bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükmünün yer aldığı,
  • Kanun’un 12’nci maddesinin (1) numaralı fıkrası gereğince veri sorumlusunun; kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda olduğunun, (5) numaralı fıkrası gereğince de işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusunun bu durumu en kısa sürede ilgilisine ve Kurula bildirmesi gerektiğinin hükme bağlandığı,
  • İlgili kişiye ait isim, soy isim ve adres bilgilerinin ilgili kişiyi belirli veya belirlenebilir kılmaya yeterli olduğu, bu yüzden, bahsi geçen bilgilerin Kanun’un 3’üncü maddesindeki tanım uyarınca “kişisel veri” niteliğini haiz olduğu, ilgili kişiye ait mezkûr kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması, kullanılmasının engellenmesi ve sair fiillerin Kanun’un 3’üncü maddesindeki tanım kapsamında birer “kişisel verilerin işlenmesi” faaliyeti olduğu, 
  • Veri sorumlusu ile acente arasında akdedildiği belirtilen “acentelik sözleşmesi” de dâhil olmak üzere taraflarca dosyaya sunulan bilgi ve belgelerin, somut olayda mezkûr acentenin Kanun hükümleri karşısında “veri sorumlusu” olarak kabul edilebilmesine yetecek nitelikte olmadığı, zira taraflar arasında akdedilen acentelik sözleşmesinde söz konusu acentenin faaliyetlerini veri sorumlusunun nam ve hesabına yürüttüğünün açık bir şekilde düzenlenmiş olduğu, bu şartlarda acentenin, Kanun’un 3’üncü maddesinde yapılan tanımlar itibarıyla ancak “veri işleyen” sıfatını haiz olduğu, 
  • Veri sorumlusunun uhdesinde bulunan/işlenen kişisel verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbiri almak konusunda Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan bir zorunluluğu bulunduğu, bu yüzden, veri sorumlusunun savunmasında almış olduğunu beyan ettiği kişisel verilerin korunmasına ilişkin tedbirlerin Kanun’un 12’nci maddesinin (1) numaralı fıkrasının birer gereği olduğu, 
  • Somut olayda, ilgili kişiye ait isim, soy isim ve adres kişisel verilerinin, veri sorumlusunca türleri/nitelikleri dikkate alındığında ancak Kanun’un 5’inci maddesinde yer alan şartlardan en az birine dayanılarak ve 4’üncü maddesinde zikredilen genel ilkelere uygun olarak işlenebileceği, 
  • İlgili kişiye ait isim, soy isim ve adres kişisel verilerinin veri sorumlusu tarafından üçüncü şahısla paylaşılmasından ibaret olan kişisel veri işleme faaliyetinin yeni/müstakil bir kişisel veri işleme faaliyeti olduğu ve söz konusu kişisel veri işleme faaliyeti açısından da Kanun’un 5’inci maddesinde yer alan şartlardan en az birine dayanılmış olması gerektiği, 
  • Veri sorumlusunun 4925 sayılı Karayolu Taşıma Kanunu’nun 43’üncü maddesine atıf yaptığı savunmasından, veri sorumlusunca ilgili kişi hakkında yürütülen kişisel veri işleme faaliyetlerinde Kanun’un 5’inci maddesinin (2) numaralı fıkrasının (a) bendindeki “kanunlarda açıkça öngörülmesi” hukuki şartına dayanıldığının anlaşıldığı, buna karşın, yapılan inceleme neticesinde, veri sorumlusunun atıf yaptığı 4925 sayılı Karayolu Taşıma Kanunu’nun toplamda 38 (otuz sekiz) maddeden ibaret olduğunun görüldüğü; bu yüzden de 4925 sayılı Karayolu Taşıma Kanunu içerisinde veri sorumlusunun beyan ettiği 43’üncü maddenin tespit edilemediği, ayrıca, taşıma hizmeti kapsamında alıcıların isim ve adres bilgilerinin kargo üzerine yazılmasını gerektiren bir yükümlülüğün mevzuatta öngörülmüş olmasının, veri sorumlularının somut olayda olduğu gibi kişisel verileri hatalı olarak işlediği (aslında kargoyla alakası olmayan ilgili kişilerin kişisel verilerinin kargo paketi üzerine yazıldığı) durumlarda geçerli bir kişisel veri işleme sebebi/şartı olarak kabul edilemeyeceği, dolayısıyla, somut olayda veri sorumlusu tarafından ilgili kişinin kişisel verilerinin “çapraz barkodlama hatası” yapılarak üçüncü bir kişi ile paylaşılması suretiyle yürütülen kişisel veri işleme faaliyetinde Kanun’un 5’inci maddesinde düzenlenen herhangi bir hukuki şartına dayanılmadığı sonucuna ulaşıldığı, 
  • Veri sorumlularının uhdelerinde bulunan/işlenen kişisel verilerin güvenliğini sağlamak için gerekli her türlü teknik ve idari tedbiri almak konusunda Kanun’un 12’nci maddesinin (1) numaralı fıkrasından kaynaklanan zorunluluğa uymamaları halinde, ortaya bir veya daha fazla “kişisel veri ihlali” çıkmasının ihtimal dâhilinde olduğu, kişisel veri ihlali durumlarında ise veri sorumluları tarafından Kanun’un 12’nci maddesinin (5) numaralı fıkrasında düzenlenen “veri ihlal bildirimi” yolunun işletilmesi ve “ilgili kişilere ve Kurula bildirim yükümlülüğü”ne uyulması gerektiği, 
  • Bu çerçevede ilgili kişinin kişisel verilerinin üçüncü kişiyle paylaşılmasının yeni bir kişisel veri işleme faaliyeti olduğu, buna karşın söz konusu kişisel veri işleme faaliyetinin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun anılan fiilinin ise Kanun’un kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, kişisel verilere hukuka aykırı olarak erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alınmasını zorunlu kılan 12’nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula veri ihlal bildiriminde bulunmadığı

değerlendirmelerinden hareketle; 

  • İlgili kişinin kişisel verilerinin üçüncü kişi ile paylaşılmasının yeni bir veri işleme faaliyeti olduğu, söz konusu veri işlemenin Kanun’da yer alan herhangi bir işleme şartına dayanmadığı, veri sorumlusunun anılan fiilinin Kanun’un veri güvenliğine ilişkin yükümlülüklerin düzenlendiği 12’nci maddesinin (1) numaralı fıkrasının (a) bendi hükmüne aykırılık teşkil ettiği, öte yandan söz konusu durumun bir veri ihlali olmasına karşın veri sorumlusunun Kanun’un 12’nci maddesinin (5) numaralı fıkrası kapsamında Kurula veri ihlal bildiriminde bulunmadığı da dikkate alındığında; Kanun’un 12’nci maddesinde yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendine istinaden 75.000 TL idari para cezası uygulanmasına 

karar verilmiştir.