Karara Konu Olayın Özeti
İlgili kişinin veri sorumlusu şirketin sunduğu hizmetlerden biri olan çevrimiçi alışveriş platformu üzerinden gerçekleştirdiği alışveriş ile ilgili olarak uygulamaya girdiği kredi kartı bilgilerinin ve sipariş teslimatı için verilen iletişim -cep telefonu numarası- bilgisinin KVKK uyarınca veri sorumlusundan talep ettiği, kredi kartı üzerinde yazan isim bilgisinin veri sorumlusuna ait sistemlerde tutulmadığı ve siparişe ilişkin telefon bilgisinin kendisiyle paylaşılmasının uygun olmadığı gerekçesiyle söz konusu talebin veri sorumlusu tarafından reddedildiği ancak savcılık kararının bulunması halinde ilgili kişiyle bu bilgilerin paylaşılabileceğinin belirtildiği, platform üzerinden gerçekleştirilen alışverişlerde her ne kadar ilgili banka sayfasına yönlendirme yapılsa da kredi kart bilgileri alanının ödeme aşamasının başında veri sorumlusunun internet sayfası üzerinden doldurulduğu ve kredi kartı bilgilerinin isteğe bağlı olarak kaydedilebildiği, bu sebeple kredi kartı bilgilerinin veri sorumlusunun sisteminde tutulmadığı iddiasının gerçeği yansıtmadığı, aydınlatma metninde internet sitesi / mobil uygulamalar üzerinden alışveriş yapanın / yaptıranın kimlik bilgilerini teyit etme ve bu kişiyle iletişim kurmak amaçlarıyla adres ile diğer gerekli bilgilerinin kaydedilmesi suretiyle kişisel veri işlendiğinin belirtildiği yönündeki iddialarını içerir şikayeti üzerine başlatılan inceleme çerçevesinde Kurul tarafından veri sorumlusunun savunması istenmiştir.
Veri sorumlusunun savunması kapsamında (i) ilgili kişinin platform üzerinden alışveriş yapabilmesi için kart bilgilerini girmesi gerektiği, daha sonraki alışverişlerinde kullanmak istemesi halinde kredi kartı bilgilerini kaydedebileceği, buna karşın kredi kartını kaydetmeyi seçse dahi veri sorumlusunun kredi kartı bilgilerine ilişkin verilerin tamamına erişemediği ve PCI DSS Level-1 Sertifika uyumluluğu bulunması nedeniyle ilgili kişilerin ödeme yaptıkları kredi kartı bilgilerinin veri sorumlusu sistemlerinde maskeli olarak ulduğu, (ii) ilgili kişinin somut olaya konu üç adet siparişten 53……8 ve 53……4 numaralı siparişlerin ilgili kişinin üyelik hesabıyla yapıldığı, 54…..8 numaralı siparişin ise ilgili kişinin üyelik hesabından yapılmadığı ve bu siparişin başka bir üyenin hesabından yapıldığının tespit edildiği ve yazı ekinde 54……8 numaralı siparişin başka bir kişiye ait olduğunu tevsiken ekran görüntüsünün sunulduğu, (iii) öte yandan bazı durumlarda üyelik hesabından yapılan işlemlerde üçüncü kişilere ait isim, soy isim ve telefon numarası bilgilerinin verildiği, somut olayda da 53…..8 ve 53…..4 numaralı siparişlerin ilgili kişinin üyelik hesabından yapılmasına rağmen üçüncü bir kişinin adı, soyadı ve telefon numarası bilgilerinin verildiğinin anlaşıldığı, bu bağlamda talep konusu siparişlerin üçüncü kişilere ait olması ve veri sorumlusu bünyesinde kredi kartı bilgilerinin bulunmaması nedeniyle ilgili kişinin talebinin yerine getirilmediği, (iv) ilgili kişinin üyeliği ile yapılan iki alışverişte üçüncü kişiye ait isim, soy isim ve telefon numarası bilgilerinin bulunmasının aynı üyelik hesabının eş, anne, baba, kardeş gibi birden fazla kişi tarafından ortak kullanılması, üyenin kendi şifresini başka bir üçüncü kişiyle paylaşması, üyenin hediye almak istediği üçüncü kişinin teslimat bilgilerini teslimat amacıyla sisteme eklemesi gibi ilgili kişinin bilgisi dahilindeki nedenlerden kaynaklanabileceği gibi başka bir cihazdan giriş yaptığı hesabını kapatmadan çıkması, üyelik hesabı oluşturduğu farklı platformlarda hep aynı şifreyi kullanması gibi ihmallerden kaynaklanabileceği, (v) KVKK'nın 11. maddesinde vurgulandığı üzere ilgili kişilerin kendisiyle ilgili kişisel verilere ilişkin bilgi talep etme hakkı-nın olduğu ve dolayısıyla veri sorumlusunun üçüncü kişinin kişisel verisine ilişkin olarak ilgili kişiye herhangi bir bilgi verme yükümlülüğünün bulunmadığı, (vi) ortak hesap kullanan kişilerin daha sonra ihtilaflı hale geldiği durumların, örneğin ortak hesap kullanan eşlerin siparişlere ilişkin bilgi talebinde bulunduğu durumların yaşanabildiği göz önünde bulundurularak ilgili kişi taleplerinin hassasiyetle incelendiği ve ilgili kişinin hakkında bilgi talep etmiş olduğu sipariş kendi üyelik hesabından yapılsa dahi alışverişin başka bir kişi tarafından yapıldığı tespit edilmişse bilgi paylaşmama konusunda titizlikle hareket edildiği, (vii) kredi kartı numarası bilgilerine uluslararası güvenlik standartları nedeniyle maskeli olarak erişim sağlanabilmesi nedeniyle bu bilgileri paylaşmasının mümkün olmadığı ve ilgili kişinin talep ettiği kart üzerindeki isim ve soy isim bilgisinin ise şirketleri nezdinde maskeli olarak dahi saklanmadığı, (viii) ilgili kişinin üyelik hesabından yapmış olduğu kendisine ait siparişlere yönelik bilgi talebinde bulunması halinde çağrı merkezi doğrulama soruları aracılığıyla bu talebinin karşılanabileceği ve ilgili kişinin taleplerini yerine getirmemek adına değil yalnızca mevzuat hükümleri ve veri güvenliği tedbirleri doğrultusunda yanıt verildiği, (ix) ilgili kişinin bilgisi dışında bir işlem olması ihtimali göz önünde bulundurularak bu konu hakkında yetkili mercilere başvurması yönünde kendisine bilgi verildiği ve ilgili kişinin üyelik hesabının güvenlik nedeniyle işleme kapatıldığı ve (x) ilgili kişinin talebinin KVKK'nın 11. maddesi kapsamında olmadığı ve ilgili kişilere verilecek yanıtın KVKK'nın diğer hükümlerine aykırılık teşkil etmesi halinde veri sorumlusunun KVKK'nın 13. maddesi uyarınca reddetme hakkının olduğu ifadelerine yer verilmiştir.
Kurul Kararı ve Yaptırımı
urul tarafından gerçekleştirilen inceleme kapsamında (i) somut olayda veri sorumlusu tarafından sunulan Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (Payment Card Industry –PCI- Data Security Standard –DSS-) Servis Sağlayıcıları Yerinde İncelemesi için Uygunluk Tasdiki (Attestation Of Compliance –AOC- For Onsite Assessments Service Providers) belgesinde yer aldığı üzere mobil ödeme teknolojisi sağlayıcısı aracı şirket tarafından; kartın fiziksel olarak bulunmadığı işlemlerin tacirlerden veya müşterilerden alınarak üye iş yeri anlaşması yapan kuruluşa (acquirer) yönlendirildiği, aynı zamanda müşterilere dijital cüzdan hizmeti sağlandığı, kart hamili verisinin sistemlerinde saklandığı ve GSM numarasının müşterileri benzersiz olarak tanımladığı, (ii) mobil ödeme teknolojisi sağlayıcısı aracı şirketin 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun kapsamında bir ödeme hizmeti sağlayıcısı olmadığı ve üye iş yeri için kart bilgilerini saklama ve sonraki ödemeler için saklanan bilgilerin kullanılmasına izin veren bir hizmet sağladığı, (iii) Banka Kartları ve Kredi Kartları Hakkında Yönetmelik'in 27/A maddesinin (5) numaralı fıkrası hükmü uyarınca hassas ödeme verisinin üye işyerine (somut olayda veri sorumlusuna) hiç iletilmemesinin gerektiği ve ayrıca ödeme teyidinin yapılması amacıyla bir veri gönderilmesi gerekmesi halinde ise hesap numarası veya hassas ödeme verisi yerine her ödeme için oluşturulan farklı bir token iletilerek daha sonraki ödemeler için oluşabilecek risklerin ortadan kaldırılabileceği, (iv) mobil ödeme teknolojisi sağlayıcısı aracı şirketin hizmet sözleşmesi incelendiğinde üye işyeri ile hassas kart verisinin paylaşılmayacağının beyan ve taahhüt edildiği, kart bilgisi görüntüleme ve silme işlemleri dahil olmak üzere kart saklama hizmetinin ilgili şirket tarafından sağlandığı ve veri sorumlusunun hassas kart bilgilerine sahip olmadığının anlaşıldığı ve nihayetinde ilgili kişinin kart bilgilerine erişim talebinin veri sorumlusu tarafından karşılanamayacağı, (v) ilgili kişinin KVKK'nın 11. maddesinin (1) numaralı fıkrasının (b) bendi kapsamında siparişe ilişkin bilgi talebinin reddedilmesine ilişkin olarak telefon numarasına ilişkin talebinin “ilgili kişinin kendisiyle ilgili olması” kriteri çerçevesinde incelendiğinde, kişisel verilerin aynı anda birden fazla kişiyle ilgili olmasının mümkün olduğu ve ilgili kişinin teslimatı için verilen iletişim adresi üçüncü kişiye ait olsa da ilgili kişinin üyelik hesabından yapılan alışverişle ilgili olarak söz konusu telefon numarasının aynı zamanda ilgili kişiye ilişkin olduğu, (vi) Avrupa Veri Koruma Kurulu'nun (EDPB) “İlgili Kişi Hakları- Erişim Hakkı Üzerine 01/2022 sayılı Rehber” ilkelerinde ilgili kişinin münhasıran başkasını ilgilendiren veriler hariç olmak üzere yalnızca kendisiyle ilgili kişisel verilere erişme hakkına sahip olduğu, bununla birlikte verilerin ilgili kişiye ilişkin kişisel veri olarak sınıflandırılmasının, bu kişisel verilerin başka biriyle de ilgili olmasına bağlı olmadığının ifade edildiği, “kendisiyle ilgili kişisel veriler” ifadesinin kapsamının “çok kısıtlayıcı” yorumlanmaması gerektiğinin tavsiye edildiği, ayrıca rehberde kişisel verilerin hane halkı kapsamında işlenmesine yönelik istisna hükmünün kapsamına girmeyen haller için ilgili kişinin sağladığı kişisel veriyi başka amaçlarla kullanması halinde ilgili kişinin kendisinin de veri sorumlusu olarak nitelendirilebileceği ve veri sorumlusunun bu konuda diğer ilgili kişiyi bilgilendirmesi gerektiğinin ifade edildiği, bu çerçevede söz konusu rehber ilkeler ile erişim hakkının sınırları hakkında yapılacak değerlendirmede; (1) hak ve özgürlükler üzerinde olumsuz bir etkisi olup olmadığı (diğer bireyler için risk olasılığı ve riskin öneminin değerlendirilmesi) ve (2) başkalarının hak ve özgürlüklerinin, ilgili kişinin hakkına üstün gelip gelmediği dengesi temel alınarak eğer kişisel verilere erişim hakkı çözümsüzlüğünde, örneğin bir ses kaydını yalnızca transkriptinin sağlanması gibi uygun formatta kişisel verilere erişim hakkı tanınarak uzlaşılması veya böyle bir uzlaşma sağlayacak bir yöntem bulunmadığı durumda, diğer kişinin hak ve özgürlüklerinin olumsuz etkilendiği ve kişisel verilere erişim hakkına üstün geldiği sürece ilgili kişiye erişim hakkının sağlanmamasının tavsiye edildiği, (vii) somut olayda, veri sorumlusu tarafından teslimat için verilen iletişim adresinin farklı olması nedenleri arasında; (1) bir üyeliğin birden fazla kişi (aile üyeleri gibi) ile ortak kullanılması, (2) üyenin şifresini başka kişiyle paylaşarak üyelik hesabını kullanması, (3) hediye almak istediği üçüncü kişi bilgilerini teslimat amacıyla sisteme eklemesi, (4) kimlik veya hesap hırsızlığı hususlarının sayıldığı, ayrıca veri sorumlusu tarafından üçüncü kişinin kişisel verisine ilişkin ilgili kişiye herhangi bir bilgi verme yükümlülüğünün bulunmadığının belirtildiği, (viii) veri sorumlusunun platformu üzerinden üyelik hesabına giriş yapıldığında halihazırda verilen siparişin teslimatının yapılacağı kişinin bilgileri kapsamında üçüncü kişinin ismi, soy ismi ve adres bilgisine ulaşılabildiği, yalnızca telefon numarasının yıldızlanarak maskelendiğinin anlaşıldığı; somut olayda ilgili kişinin üyelik hesabından verilen siparişin teslimatı için bildirilen telefon numarasının (1) üçüncü kişinin hak ve özgürlükleri üzerinde olumsuz bir etkisinin olup olmadığı (üçüncü kişi için risk olasılığı ve riskin öneminin değerlendirilmesi) ve (2) üçüncü kişi hak ve özgürlüklerinin, ilgili kişinin erişim hakkına üstün gelip gelmediği arasında bir denge kurulmak suretiyle ilgili kişinin kişisel veriye erişim hakkının üstün geldiği kanaatine varılması halinde, ilgili kişinin üyelik hesabından verilen siparişlerde teslimat için bildirilen telefon numarasının, ilgili kişinin makul gerekçesi bulunması ve erişim talebiyle ilişkili dolandırıcılık riski bulunmaması şartıyla veri sorumlusu tarafından ilgili kişinin kimliğini doğrulayacak mekanizmalar aracılığıyla ilgili kişiye sağlanması gerektiği, (ix) öte yandan, ilgili kişinin üyelik hesabı kullanılmaksızın verilen üçüncü siparişin ilgili kişi dışında üçüncü kişinin üyelik hesabından yapıldığı veri sorumlusunun sunduğu deliller ile kanıtlandığı dikkate alındığında, ilgili kişinin kişisel verisi olmaması nedeniyle kişisel verilere erişim hakkı kapsamında veri sorumlusu tarafından söz konusu siparişin teslimatı için verilen telefon numarasının ilgili kişiye sağlanamayacağı değerlendirmelerinde bulunulmuştur.
Söz konusu değerlendirmeler ışığında;
- ilgili kişinin kredi kartı bilgilerinin mobil ödeme teknolojisi sağlayıcısı aracı şirket bünyesinde tutulduğu dikkate alındığında veri sorumlusu hakkında bu açıdan yapılacak bir işlem olmadığına,
- yelik hesabından giriş yapıldığında verilen siparişin teslimatının yapılacağı kişinin bilgileri kapsamında halihazırda üçüncü kişinin isim, soy ismi ve adres bilgisine ulaşabildiği, telefon numarasının ise maskeli olarak gösterildiği dikkate alındığında, ilgili kişinin erişim talebinin gerekçesinin makul olması ve bu talep ile bağlantılı dolandırıcılık riski bulunmaması halinde üçüncü kişinin hak ve özgürlüklerinin ilgili kişinin kişisel veriye erişim hakkına üstün gelmediği kanaatine varıldığından, ilgili kişinin üyelik hesabından verilen siparişlerin teslimatı için bildirilen telefon numarasının kimlik doğrulama mekanizmaları aracılığıyla ilgili kişiye sağlanması yönünde veri sorumlusunun talimatlandırılmasına ve
- ilgili kişinin üyelik hesabı kullanılmaksızın verilen diğer siparişin ilgili kişi dışında üçüncü kişinin üyelik hesabından yapıldığının veri sorumlusunun sunduğu deliller ile kanıtlandığı dikkate alındığında, şikayetçinin kişisel verisi olmaması nedeniyle söz konusu siparişin teslimatı için verilen telefon numarasının ilgili kişinin erişim hakkı kapsamında bulunmadığı kanaatine varıldığından bu hususta veri sorumlusu hakkında yapılacak herhangi bir işlem bulunmadığına
karar verilmiştir.
Söz konusu kararın tam metnine buradan ulaşabilirsiniz
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
