Kişisel Verileri Koruma Kurulunun 18/05/2023 Tarihli ve 2023/845 sayılı Karar Özeti

"Bir kargo şirketi çalışanı tarafından kargo teslimi akabinde ilgili kişinin telefonuna kısa mesaj gönderilmesi suretiyle kişisel verilerin hukuka aykırı işlenmesi" hakkında Kişisel Verileri Koruma Kurulunun 18/05/2023 tarihli ve 2023/845 sayılı Karar Özeti

Kuruma intikal eden şikayette özetle; bir online alışveriş sitesi üzerinden alışveriş gerçekleştirdiği, sipariş tarihinden bir gün sonra satın aldığı ürünün veri sorumlusu bünyesinde çalışan kurye tarafından teslim edildiği, sonrasında ise kurye tarafından cep telefonu numarasına taciz içerikli mesaj gönderildiği ve mesajı gönderenin kurye olduğu hususunun kargo şirketi (veri sorumlusu) tarafından teyit edildiği, veri sorumlusunun kişisel veri güvenliğini sağlayamadığı ve çalışanının kendisini rahatsız ettiği belirtilerek gereğinin yapılması talep edilmiştir. 

Konuya ilişkin başlatılan inceleme çerçevesinde veri sorumlusunun savunması talep edilmiş alınan cevabi yazıda özetle;

• Yaşanan olayda eylemi gerçekleştirdiği belirtilen şahsın şirketin çalışanı ve/veya tedarikçisi olmadığı, şirket ile arasında hiçbir hukuki bağın bulunmadığı,
• Şirketin faaliyeti kapsamında; mevzuatın uygun gördüğü şekilde üçüncü şahıslar ile akdettiği iş birliği sözleşmeleri uyarınca, taşıma işinin bir kısmını tedarikçi üçüncü şahıslar ile yürütebildiği,
• Parça başı tedarikçilerin büyük çoğunluğunun "DDN" isimli e-ticaret gönderilerinin daha hızlı ve etkin bir şekilde dağıtılmasını amaçlayan birimlerde çalıştığı, özellikle dağıtımın yoğun olduğu dönemlerde ihtiyaç olan birimlerde parça başı dağıtımcılar vasıtası ile dağıtım ve teslimatın yaptırıldığı,
• Çalışan tüm parça başı araçlar ve sürücülerin şirket sistemlerine eklendiği, gerekli tüm evraklarının sisteme kaydedildiği ve süreç içerisinde uymaları gereken kuralların net şekilde anlatıldığı,
• Söz konusu olayın parça başı dağıtım araçlarından birisinde yaşanan sorun nedeniyle şirketin bilgisi ve onayı dışında, parça başı dağıtım tedarikçisi ve/veya tedarikçinin dağıtım ve teslimat hizmetleri için görevlendirdiği şoförünün talimatı ile dağıtıma destek için getirilen üçüncü bir kişinin sebep olduğu bir vakıa olduğu,
• İlgili kişinin kişisel verilerinin şirket kayıtlarına işlenmesinin sebebinin şirketten taşıma hizmeti alması olduğu ve taşıma hizmetinin verilebilmesi ve gönderilerin alıcılara teslim edilebilmesi için kargo alıcılarının ad-soyadı/adres/iletişim bilgilerinin şirket kayıtlarına işlenmesinin gerektiği, aksi takdirde hizmetin doğru şekilde verilebilmesinin mümkün olmadığı, bu nedenle de ilgili kişinin ad, soyadı ve iletişim bilgilerinin toplandığı ve işlendiği,
• Her bir taşıma için Vergi Usul Kanunu gereği gönderici ve alıcının kişisel bilgilerini ihtiva eden taşıma faturası/irsaliyesi tanzim edildiği, 6102 sayılı Türk Ticaret Kanunu gereği ise bu fatura ve irsaliyelerin 10 yıl boyunca saklanmasının zorunlu olduğu, yasal saklama süreleri sona eren kayıtlar ve kişisel verilerin mevzuata uygun bir şekilde imha edildiği,
• Şirketin personeli veya tedarikçisi olmayan şahsın sebep olduğu bu olayı takiben teslimatta asıl görevli olan parça başı tedarik hizmet alınan kişi ile çalışmanın sonlandırıldığı,
• Şirketin faaliyetlerini son derece özveri ile yürüttüğü, işçilere ve tedarikçilerine, hizmet kalitesi, kişisel veri, gizli bilgi ve veri güvenliğinin sağlanması için gerekli bilgilendirmeleri ve hatırlatmaları yaptığı,
• Benzer olayların tekrar yaşanmaması için yeni idari ve teknik tedbirlerin alındığı, bu kapsamda da tedarikçilerin, müşterilerin telefon numaralarına ulaşımını kısıtlamak adına barkod etiketleri üzerinde yer alan telefon numarasının maskelendiği

ifade edilmiştir. 

İlgili kişi tarafından Kuruma iletilen belgelerden, söz konusu olaya ilişkin eylemi gerçekleştiren kurye hakkında 5237 sayılı Türk Ceza Kanunu hükümlerine uyarınca şikayette bulunulduğu ve ceza yargılaması neticesinde şahsın cezalandırıldığı tespit edilmiştir

Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 18/05/2023 tarihli ve 2023/845 sayılı Kararı ile;

• Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde kişisel verinin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; veri sorumlusunun, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; kişisel verilerin işlenmesinin ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
• Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilmiştir. Buna göre, kişisel verilerin ancak; a) Hukuka ve dürüstlük kurallarına uygun olma, b) Doğru ve gerektiğinde güncel olma, c) Belirli, açık ve meşru amaçlar için işlenme şartıyla, ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun olarak işlenebileceği,
• Kanun’un 5’inci maddesinin kişisel verilerin işlenme şartlarını düzenlediği, maddenin (1) numaralı fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceğinin, (2) numaralı fıkrasında ise, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin veya bir başkasının hayatı veya beden bütünlüğünün korunması için veri işlemenin zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olmak kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla veri sorumlusunun meşru menfaati için veri işlenmesinin zorunlu olması hallerinde ilgili kişinin açık rızası olmaksızın kişisel verilerin işlenmesinin mümkün olduğunun hükme bağlandığı,
• Kanunun “Kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesi” başlıklı 7’nci maddesinde; Kanunun ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin resen veya ilgili kişinin talebi üzerine veri sorumlusu tarafından silineceği, yok edileceği veya anonim hâle getirileceği ve kişisel verilerin silinmesi, yok edilmesi veya anonim hâle getirilmesine ilişkin diğer kanunlarda yer alan hükümlerin saklı olduğunun hükme bağlandığı,
• İlgili kişinin kişisel verilerinin hukuka aykırı olarak işlendiği iddiası bakımından yapılan incelemede, 6098 sayılı Türk Borçlar Kanunu 66’ncı maddesinde “Adam çalıştıran, çalışanın, kendisine verilen işin yapılması sırasında başkalarına verdiği zararı gidermekle yükümlüdür. Adam çalıştıran, çalışanını seçerken, işiyle ilgili talimat verirken, gözetim ve denetimde bulunurken, zararın doğmasını engellemek için gerekli özeni gösterdiğini ispat ederse, sorumlu olmaz. Bir işletmede adam çalıştıran, işletmenin çalışma düzeninin zararın doğmasını önlemeye elverişli olduğunu ispat etmedikçe, o işletmenin faaliyetleri dolayısıyla sebep olunan zararı gidermekle yükümlüdür.” hükmünün mevcut olduğu,
• 4857 sayılı İş Kanunu 2’nci maddesinin 6 ve 7’nci fıkralarında, “Bir işverenden, işyerinde yürüttüğü mal veya hizmet üretimine ilişkin yardımcı işlerinde veya asıl işin bir bölümünde işletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işlerde iş alan ve bu iş için görevlendirdiği işçilerini sadece bu işyerinde aldığı işte çalıştıran diğer işveren ile iş aldığı işveren arasında kurulan ilişkiye asıl işveren-alt işveren ilişkisi denir. Bu ilişkide asıl işveren, alt işverenin işçilerine karşı o işyeri ile ilgili olarak bu Kanundan, iş sözleşmesinden veya alt işverenin taraf olduğu toplu iş sözleşmesinden doğan yükümlülüklerinden alt işveren ile birlikte sorumludur. Asıl işverenin işçilerinin alt işveren tarafından işe alınarak çalıştırılmaya devam ettirilmesi suretiyle hakları kısıtlanamaz veya daha önce o işyerinde çalıştırılan kimse ile alt işveren ilişkisi kurulamaz. Aksi halde ve genel olarak asıl işveren alt işveren ilişkisinin muvazaalı işleme dayandığı kabul edilerek alt işverenin işçileri başlangıçtan itibaren asıl işverenin işçisi sayılarak işlem görürler. İşletmenin ve işin gereği ile teknolojik nedenlerle uzmanlık gerektiren işler dışında asıl iş bölünerek alt işverenlere verilemez.” hükümlerinin mevcut olduğu,
• Türk Borçlar Kanunu ve İş Kanunu’nun ilgili hükümlerine göre veri sorumlusunun söz konusu hukuka aykırı veri işleme olayında sorumluluk sahibi olduğunun değerlendirildiği, buna rağmen veri sorumlusu vekili tarafından Kuruma iletilen cevap yazısından, söz konusu olayı gerçekleştiren ve olayın gerçekleştiği sırada veri sorumlusu adına çalışan şahsa, kişisel verilerin korunması ve veri güvenliği konusunda herhangi bir eğitim verilmediği ve gerekli bilgilendirmenin yapılmadığının anlaşıldığı, 
• Eylemi gerçekleştiren şahsın ceza yargılaması esnasında verdiği ifadeler incelendiğinde veri sorumlusu bünyesinde geçici olarak çalıştığı beyanının bulunduğunun tespit edildiği, buna rağmen veri sorumlusunun kurye ile aralarında herhangi bir hukuki ilişkinin bulunmadığı beyanının gerçeği yansıtmadığı ve veri sorumlusu tarafından şahsa gerekli eğitimlerin verilmediği ve kişisel verilerin korunması ile ilgili herhangi bir bilgilendirmenin de yapılmadığı kanaatine varıldığı,
• İlgili kişinin kişisel verilerinin silinmesi, yok edilmesi veya anonim hale getirilmesi bakımından yapılan incelemede, Kanunun 7’nci maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik’in 7’nci maddesi ve veri sorumlusunun tabii olduğu ilgili mevzuat hükümleri uyarınca ilgili kişiye ait kişisel verilerin veri sorumlusu kayıtlarına işlenmesinin sebebinin taşıma hizmeti olduğu ve taşıma hizmetinin verilebilmesi ve gönderilerin alıcılara teslim edilebilmesi için kargo alıcılarının ad, soyadı, adres ve iletişim bilgilerinin veri sorumlusu kayıtlarına işlenmesinin gerektiği ve 6102 sayılı Türk Ticaret Kanunu gereği fatura ve irsaliyelerin 10 yıl boyunca saklanmasının zorunlu olduğu

değerlendirmelerinden hareketle;

• Veri sorumlusu tarafından ilgili kişinin kişisel verisi niteliğinde olan cep telefonu numarasının, Kanun’un 5’inci maddesinde öngörülen kişisel veri işleme şartlarına dayanılmaksızın hukuka aykırı olarak paylaşıldığı, bu kapsamda veri sorumlusunun Kanun’un 12’nci maddesinin (1) numaralı fıkrasının (a) bendi kapsamında kişisel verilerin hukuka aykırı işlenmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli teknik ve idari tedbirleri almadığı kanaatine varılması nedeniyle Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında veri sorumlusu hakkında 250.000 TL idari para cezası uygulanmasına karar verilmiştir.