Karara Konu Olayin Özeti
Ilgili kisinin daha önce veri sorumlusu telekomünikasyon sirketi hakkinda kendisine ait e-posta adresine baska bir aboneye ait e-faturalarin gönderilmesi nedeniyle sikayette bulundugu, bu kapsamda veri sorumlusu telekomünikasyon sirketi hakkinda Kurul tarafindan idari para cezasi uygulanmasina ve sirketin kisisel verilerin güvenligine iliskin gerekli tüm idari ve teknik tedbirlerin alinmasi hususunda talimatlandirilmasina karar verildigi, ancak 2018 yilindan beri 053......4 numarali hattin sahibinin e-faturalarinin veri sorumlusu tarafindan kendisine iletildigi ve bununla birlikte 054......9 numarali hattin sahibinin e-faturalarinin da kendisine iletilmeye baslandigi yönündeki iddialari içerir sikayeti üzerine Kurul tarafindan veri sorumlusunun savunmasi istenmistir.
Veri sorumlusunun cevap yazisi kapsaminda (i) ilgili kisiye ait verilerin düzeltilmesini isteme hakkinin yerine getirilmedigi iddiasinin gerçegi yansitmadigi, ilgili kisinin sirkete yaptigi basvuru sonrasinda 054......9 numarali hattin faturalama bilgilendirme tercihinin Mayis 2020 dönemi ve sonrasi için e-faturadan SMS'e çevrildigi, bu çerçevede sirket sistemlerinde yapilan sorgulamada 054......9 numarali telefon numarasina iliskin hazirlanan e-faturanin ilgili kisinin beyan ettigi e-posta adresine en son 30 Nisan 2020 tarihinde iletildiginin tespit edildigi, (ii) ayni e-posta adresini beyan eden 053......4 numarali hat sahibine ise konuya iliskin olarak ulasilmaya çalisilmasina ragmen borcundan dolayi hattinin erisime kisitli olmasi nedeniyle ulasilamadigi, abonelik sözlesmesi kapsaminda ayni e-posta adresini beyan eden hat sahibinin degisiklige iliskin rizasi alinamadigi için herhangi bir islem yapilamadigi, hat sahibinin abonelik sözlesmesinde beyan ettigi bilgilerin hat sahibinin iradesi disinda degistirilmesinin KVKK kapsamindaki haklarinin ihlaline ve Bilgi Teknolojileri ve Iletisim Kurumunun ilgili yönetmeliklerine aykiri hareket edilmesine sebep olacagi ve (iii) ilgili kisinin ilk sikayetini 11/01/2019 tarihinde Kurum'a ilettigi, ilk basvurusunda yalnizca 053......7 numarali hattin faturalarinin kendisine gönderilmesi ve bu suretle e-posta adresinin hukuka aykiri islendigine iliskin rahatsizligibeyan ettigi ancak 053......4 numarali hatta ait faturalarin da 2018 yilinda ayni e-posta adresine iletilmekte oldugu görülmesine ragmen 053.....4 numarali hattin faturasina iliskin rahatsizlik duydugunu beyan etmedigi, ilk basvurusunda yer vermedigi bu numaraya yönelik rahatsizligini yaklasik 18 ay sonra iletme geregi duymasinin diger sikayetlerinde kullanmak üzere numarayi elinde tutmayi tercih etmesi anlamina geldigi, gereksiz is yükü getiren ve etik olmayan bu tercihin dürüstlük ilkesiyle bagdasmadigi ifadelerine yer verilmistir.
Kurul Karari ve Yaptirimi
Kurul tarafindan gerçeklestirilen inceleme kapsaminda (i) ilgili kisinin ilk basvurusuna istinaden verilen Kurul karari kapsaminda veri sorumlusunun kisisel verilerin güvenligine iliskin gerekli tüm idari ve teknik tedbirlerin alinmasi hususunda talimatlandirilmasina ragmen üçüncü kisilere iliskin faturanin ilgili kisinin e-posta adresine iletilmeye devam edilmesinin ve yine üçüncü bir kisiye ait abonelik sözlesmesinde ilgili kisinin e-posta adresinin bildirilmis olmasinin, mevcut ve yeni üyelerin e-posta adresi gibi iletisim kanallarinin dogrulanmasina yönelik bir mekanizmanin bulunmadigini gösterdigi ve (ii) veri sorumlusunun söz konusu kisisel verilerin dogrulugunu saglamak amaciyla proaktif bir yaklasimla gerekli tedbirleri almamasinin "dogru ve gerektiginde güncel olma" ilkesine aykirilik teskil ettigi ve dolayisiyla veri sorumlusu tarafindan kisisel verilerin islenmesinde uygun güvenlik düzeyini temin etmeye yönelik gerekli tedbirlerin alinmadigi degerlendirmelerinde bulunulmustur
Söz konusu degerlendirmeler isiginda;
- lgili kisinin e-posta adresinin üçüncü kisilere ait faturanin iletilmesi suretiyle islenmesi ve bu durumun "dogru ve gerektiginde güncel olma" ilkesine aykirilik teskil etmesi sebebiyle, daha önce verilen Kurul kararinda abonelerin kisisel verilerinin güvenligine iliskin gerekli idari ve teknik tedbirlerin alinmasi hususunda talimatlandirildigi da dikkate alinarak, veri sorumlusu hakkinda 200.000 TL idari para cezasi uygulanmasina ve
- ilgili kisinin e-posta adresine üçüncü kisilere ait kisisel verilerin iletilmemesi amaciyla gerekli tedbirlerin alinmasi ve sonucundan Kurul'a bilgi verilmesi hususunda veri sorumlusunun talimatlandirilmasina
karar verilmistir.
Söz konusu kararin tam metnine buradan ulasabilirsiniz.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
