Karara Konu Olayin Özeti

Ilgili kisinin bir e-ticaret firmasindan satin aldigi ürünü tarafina teslim edecek kargo firmasinin siparisi kendisine teslim etmesini müteakip kargo paketinin üzerinde kendisi disinda isim benzerligi bulunan baska bir kisiye (üçüncü kisi) ait adres ve iletisim bilgilerinin yer aldigi, veri sorumlusu kargo firmasina KVKK kapsaminda basvuruda bulunarak kendisi disinda üçüncü kisiye ait kisisel verilerin hangi hukuki gerekçeyle tarafina gönderildigi, benzer sekilde kendisine ait kisisel verilerin de üçüncü kisilere aktarilip aktarilmadigi ve aktarildiysa hangi hukuki nedenlere dayanilarak aktarildigi hususlarina iliskin bilgi talep ettigi, veri sorumlusu tarafindan verilen cevabi yazida söz konusu durumun barkodlama islemi sirasinda gerçeklesen bir hata sonucunda meydana geldiginin ve kendisine ait gönderinin üçüncü kisiden iade alinarak gönderici firmaya teslim edildiginin belirtildigi, veri sorumlusunun beyanindan hareketle yapilan çapraz kargo gönderimi hatasi nedeniyle kendisine teslim edilmesi gereken kargo paketinin üçüncü kisiye gönderildigi, bu suretle kendisine ait kisisel verilerin üçüncü kisi ile paylasildigi sonucuna varildigi ve dolayisiyla veri sorumlusunun hem kendisine hem de üçüncü kisiye ait kisisel verileri KVKK'nin 8. maddesine aykiri olarak aktardigi yönündeki iddialarini içerir sikayet dilekçesi üzerine baslatilan inceleme çerçevesinde Kurul tarafindan veri sorumlusunun savunmasi istenmistir

Veri sorumlusunun savunmasi kapsaminda (i) ilgili kisiye gönderilmek üzere faturalandirilan gönderinin acente personeli tarafindan toplu sekilde barkodlama islemi yapilirken ayni isimli baska bir müsteriye ait gönderi ile isim benzerligi nedeniyle karistirildiginin ve çapraz barkodlama hatasi yapildiginin tespit edildigi, (ii) bu nedenle bir diger müsterileri olan üçüncü kisinin kargosunun ilgili kisiye, ilgili kisinin kargosunun ise üçüncü kisiye teslim edilmek üzere barkodlandigi ve bu sekilde ulastirildigi, (iii) islemin fark edilmesiyle birlikte sikayetçi müsteriye ait gönderinin diger müsterileri olan üçüncü kisiden alinarak gönderici firmaya iade edildigi, (iv) söz konusu olayin sistematik bir hata olmadigi ve acente çalisanlari tarafindan el ile (manuel olarak) gerçeklestirilen barkodlama islemi sirasinda bir kereye mahsus olmak üzere sehven ortaya çiktigi, (v) müsterilerine iliskin kisisel verilerin yalnizca tasima hizmetinin ifasi için ilgili birimler, ifa yardimcilari, Bilgi Teknolojileri ve Iletisim Kurumu, talep halinde Ulastirma Denizcilik ve Haberlesme Bakanligi ve kanunen kisisel verileri talep etmeye yetkili kamu kurumlari ile paylasildigi, (vi) bu çerçevede ilgili kisi dahil kargo firmasindan hizmet alan hiçbir müsterinin kisisel verilerinin istenmeden yasanan münferit olay disinda üçüncü kisilerle paylasilmadigi, bu güvenligin saglanabilmesi için idari ve teknik pek çok önlemin alindigi, söz konusu tedbirlerin günün gerekleri ve yürürlükteki mevzuat uyarinca gerekli oldukça gelistirildigi ve güncellendigi, (vii) tasima hizmeti kapsaminda belli bilgileri kargo / gönderi üzerine yazmasinin 4925 sayili Karayolu Tasima Kanunu'nun ("Tasima Kanunu") 43. maddesi geregince bir yükümlülük oldugu ve dolayisiyla alicilarin isim ve adres bilgilerinin kargo üzerinde yazildigi ve (viii) kargo dagitim süreçlerinde istemeden de olsa yasanan bu gibi aksakliklarin önüne geçilebilmesi için acentelere ve ilgili tüm birim personeline gerekli bildirimlerin siklikla gerçeklestirildigi, çalisanlara yükümlülükleriyle ilgili düzenli egitimlerin verildigi ve farkindalik çalismalari yapildigi, nitekim söz konusu acentenin çalisanlarina da kisisel verilerin korunmasina iliskin muhtelif tarihlerde egitimler verildigi ve belirli araliklarla hatirlatma kisa mesajlari (SMS'leri) gönderildigi ifadelerine yer verilmistir.

Kurul Karari ve Yaptirimi

Kurul tarafindan gerçeklestirilen inceleme kapsaminda (i) veri sorumlusu ile acente arasinda akdedildigi belirtilen acentelik sözlesmesi de dahil olmak üzere taraflarca dosyaya sunulan bilgi ve belgelerin, somut olayda mezkur acentenin KVKK hükümleri karsisinda veri sorumlusu olarak kabul edilebilmesine yetecek nitelikte olmadigi, zira taraflar arasinda akdedilen acentelik sözlesmesinde söz konusu acentenin faaliyetlerini veri sorumlusunun nam ve hesabina yürüttügünün açik bir sekilde düzenlenmis oldugu ve dolayisiyla acentenin veri isleyen sifatini haiz oldugu, (ii) veri sorumlusu her ne kadar Tasima Kanunu'na atif yapilarak mezkur kisisel veri isleme faaliyetlerinde "kanunlarda açikça öngörülme" isleme sartina dayanildigini belirtse de yapilan inceleme neticesinde veri sorumlusunun atif yaptigi Tasima Kanunu'nun toplamda 38 maddeden ibaret oldugu ve bu kapsamda veri sorumlusunun dayanak gösterdigi 43. maddenin tespit edilemedigi, (iii) tasima hizmeti kapsaminda alicilarin ad ve adres bilgilerinin kargo üzerine yazilmasini gerektiren bir yükümlülügün mevzuatta öngörülmüs olmasinin, veri sorumlularinin somut olayda oldugu gibi kisisel verileri hatali olarak isledigi durumlarda geçerli bir kisisel veri isleme sarti olarak kabul edilemeyecegi, (iv) veri sorumlusunun çapraz barkodlama hatasinin KVKK'nin uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirlerin alinmasini zorunlu kilan 12. maddesine aykirilik teskil ettigi ve (v) söz konusu durumun bir veri ihlali olmasina karsin veri sorumlusunun Kurul'a konu hakkinda bir veri ihlal bildirimi gerçeklestirmedigi degerlendirmelerinde bulunulmustur.

Söz konusu degerlendirmeler isiginda;

  • ilgili kisinin kisisel verilerinin üçüncü kisi ile paylasilmasinin yeni bir veri isleme faaliyeti oldugu, söz konusu veri islemenin KVKK'da yer alan herhangi bir isleme sartina dayanmadigi, veri sorumlusunun anilan fiilinin KVKK'nin veri güvenligine iliskin yükümlülüklerin düzenlendigi 12'nci maddesinin (1) numarali fikrasinin (a) bendi hükmüne aykirilik teskil ettigi ve söz konusu durumun bir veri ihlali teskil etmesine karsin veri sorumlusunun Kurul'a veri ihlal bildiriminde bulunmadigi dikkate alindiginda, KVKK'nin 12. maddesinde yer alan yükümlülüklerini yerine getirmeyen veri sorumlusu hakkinda 75.000 TL idari para cezasi uygulanmasina

karar verilmistir.

Söz konusu kararin tam metnine buradan ulasabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.