EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2021/671

2021/671

06/07/2021

Konu: İlgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilmesi ve arama kaydının üçüncü kişilerle rızası dışında paylaşılması hakkında karar.

Kararı Paylaşın

Karar Özeti:

Kurula ilgili kişi tarafından iletilen şikayette ilgili kişinin e-posta adresinin hukuka aykırı olarak değiştirilip telefon hattına ait arama dökümünün üçüncü kişilere rızasız paylaşıldığı belirtilmiştir. Kurul tarafından yapılan incelemede sakıncalı olabilecek kişisel verilerin paylaşımı için iki kademeli kimlik doğrulama metodunun kullanılması gerektiğini, kullanılmaması durumunda ise haddinden fazla kişisel veri ihlaline yol açabileceği tespit edilmiştir. Veri sorumlusu telekomünikasyon şirketinin ilgili kişinin kişisel verisini içeren arama dökümünün üçüncü kişilerle paylaşıldığı olayda kullanılan şifre doğrulama metodunun ise tek kademeli kimlik doğrulama metodunun kullanıldığı tespit edilmiştir. Sonuç olarak kurul KVKK’nın 5’inci maddesinde yer alan işleme şartlarını sağlamadığı ve KVKK’nın 12’nci maddesindeki yükümlülükleri yerine getirmediği gerekçesiyle 18’inci maddenin (1) numaralı fıkrasının (b) bendi kapsamında 125.000 TL idari para cezası uygulanmasına karar vermiştir.

Ceza: 125.000-TL İdari para cezası uygulanmıştır.

II. Tarafların İddia ve Beyanlarının Özeti

Kurum kayıtlarına intikal eden şikayet dilekçesinde özetle;

İlgili kişi üzerine kayıtlı telefon hattı ile ilgili olarak kendisi ile iletişime geçilebilmesi için bildirmiş olduğu ve veri sorumlusu telekomünikasyon şirketinin veri kayıt sisteminde bulunan e-posta adresinin değiştirildiği ve ilgili kişinin diğer kişisel verileri ile ilgili olarak veri sorumlusuna başvuru yapıldığı, başvuruya verilmiş olan cevapta: söz konusu hattın 6 Mayıs 2019 tarihinde iptal edildiğinin, belirtilen e-posta değişikliğinin çağrı merkezi kanalı ile yapıldığının tespit edildiğinin, çağrı merkezinin belirtilen numaralı hat ilearandığının, kimlik teyidi için gerekli soruların sorulduğu ve işlem güvenliğinin sağlandığının, kimlik teyidinin gerçekleşmesi üzerine arama geçmişi kayıtlarının istenilen e posta adresine gönderildiğinin söz konusu çağrı kapsamında ilgili kişinin kişisel verilerinde başka bir değişiklik yapılmadığının belirtildiği,

– Ancak ses kaydının gönderilmesinin talep edilmesine rağmen ses kaydı dökümünün gönderilmemesi, çağrı merkezinin, daha önce iptal edildiği ve hali hazırda hiçbir cihazda kullanılmadığı söylenen numaralı hat ile arandığının söylenmesi, çağrı merkezini arayan kişinin kimlik teyidi için sorulan sorulardan doğum tarihi dışında hiçbir bilgiyi doğru olarak verememesine ve müşteri temsilcisinin arayan kişinin kimliği konusunda yoğun şüphe duyarak kendisini kimlik ibraz edeceği bayiye yönlendirmesine rağmen her nasılsa hukuka aykırı olarak kişisel veri güvenliğinin ihlal edilerek ilgili kişinin eski eşine boşanma sürecinde aktarıldığı, bu nedenle ilgili kişinin iki çocuğunun velayetini alamamakla birlikte boşanma nedeniyle maddi ve manevi tazminat talep edemediği, nafakalardan mahrum kaldığı, ilgili kişinin kişisel verilerinin hukuka aykırı olarak üçüncü kişilerle paylaşılması sebebiyle maddi ve manevi zarara uğradığı,

ifade edilerek, veri sorumlusu şirket hakkında idari para cezasına hükmedilmesi ve ayrıca veri sorumlusu şirket nezdinde tutulan söz konusu çağrı ile ilgili ses kayıtlarının kendilerine aktarılması talep edilmektedir.

Bahse konu başvuru hakkında Kurulun 25.02.2021 tarihli ve 2021/152 sayılı Kararı ile inceleme başlatılmasına karar verilmiştir.

Bu çerçevede, veri sorumlusunu muhatap yazımız ile Kanunun konu ile ilgili olan 3 üncü, 4 üncü, 5 inci, 6 ncı, 7 nci, 11 inci, 12 nci, 15 inci maddeleri hakkında bilgi verilmiş, ilgili şikayet başvurusunda yer alan iddialara ilişkin savunmaları ile, Kurumumuza bilgi verilmesi ve bu kapsamda ilgili tüm bilgi, belge ve kayıtların tarafımıza gönderilmesi istenilmiştir.

Kurum kayıtlarına intikal eden yazı ile veri sorumlusu telekomünikasyon şirketi tarafından cevap verilmiş olup söz konusu yazıda özetle;

– İlgili kişi başvurusunda Şirketlerinden talep edilen çağrı merkezi görüşmesine ait ses kaydı dökümünün başvuruya cevap yazıları ile birlikte gönderildiği.

– Şikayete konu olayda çağrı merkezini arayan kişiye Şirket süreçlerine uygun şekilde güvenlik soruları sorularak öncelikle kimlik teyidi gerçekleştirildiği,

– İlgili kişinin kimliğinin teyit edilmesi akabinde müşteri temsilcisi tarafından işlemlerinin gerçekleştirildiği,

Görüşme dökümünün, şikayet sahibinin ilgili kişi başvurusuna verdikleri cevap yazısı ile birlikte gönderilmiş olduğuna dair açıklamalarında;

İlgili kişinin Kurumumuza yaptığı başvuruda ses kaydı dökümünün gönderilmediğini iddia ettiğinin anlaşıldığı, kapsamda ilgili kişi adına vekaleten avukatı tarafından, KEP aracılığı ile şirkete yapılan ilgili kişi başvurusunun 16.11.2020 tarihinde yanıtlanmış ve cevabi yazılarında başvuruda sorulan tüm hususlara ilişkin bilgilere yer verildiği, bunlara ek olarak şikayet sahibinin talebi doğrultusunda çağrı merkezi ile şikayet sahibi arasındaki görüşme kaydının bir dökümünün cevap yazısı ekinde paylaşıldığı, söz konusu cevabi yazı ve yazı ekinde yer alan görüşme dökümünün ek olarak tarafımıza sunulduğu,

Şirketin 6698 Kişisel Verilerin Korunması Kanunu kapsamında kişilerden gelen tüm taleplerin süresinde eksiksiz olarak yanıtlanmasına büyük önem verdiği, bu çerçevede Kurumumuzun tüm kararları ve rehberleri ile uygulamadaki güncel gelişmeleri takip ettiği, bunlara ek Şirkete dair verilen kararları derhal uygulamaya koyduğu, bu bağlamda 14/01/2020 tarihli ve 2020/13 sayılı Kişisel Verileri Koruma Kurulu Kararı ile ilgili kişilerin işlenen kişisel verilerine ilişkin bilgi etme hakkının erişim hakkını da kapsadığı, bu hakkın kullanılmasında veri sorumlusunun kendisinden talep edilen ses kayıtlarına ilişkin ortamlarının doğrudan ilgili kişiye teslimi suretiyle değil ancak, talep edilen ses kayıtlarının içeriğinin dökümlerine, verilerin içeriğinin ilgili kişi tarafından tam olarak anlaşılmasına imkan tanıyacak şekilde, erişim hakkı sağlanması gerektiğine karar verilmiş olduğunu dikkate alarak, ilgili kişi başvurusuna cevaplarında ilgili kişinin çağrı merkezi ile gerçekleştirdiği görüşmenin dökümüne yer verdiğini, böylece ilgili kişinin kişisel verilerin işlenmesine ilişkin bilgi taleğ etme hakkı ve erişim hakkının karşılandığı,

Bahsi geçen telefon hattının iptal edilen bir hat olduğu iddiası ile çağrı merkezi görüşmesine ilişkin açıklamalarında;

Şikayete konu olayda 24 Mayıs 2017 tarihinde Şirketin çağrı merkezinin arandığı, şikayet sahibi adına kayıtlı telefon numarası için sistemlerinde kayıtlı bulunan e-posta adresinin güncellendiği, akabinde aynı hattın 2017 yılı Şubat, Mart ve Nisan aylarına ilişkin dökümünün güncel e-postaya gönderilmesinin talep edildiği,

İlgili kişi adına kayıtlı ve şikayete konu telefon hattının 16/04/2015 tarihinde açıldığı, 06/05/2019 tarihinde iptal edildiği, söz konusu çağrı merkezi görüşmesinin gerçekleştiği tarih olan 24 Mayıs 2017’de bu hattın ilgili kişi tarafından Şirket aboneliği kapsamında kullanılan aktif bir hat olduğu, dolayısıyla bahsi geçen telefon hattının ilgili tarihte iptal edilmiş olduğuna dair iddiaların gerçeği yansıtmadığı, hattın açılma ve iptal tarihlerine ilişkin kayıtların tarafımıza sunulduğu, ek olarak bahsi geçen telefon hattının hiçbir cihazda kullanılmadığı belirtilmişse de Şirket nezdinde aktif bir abonelik kapsamındaki GSM numarasına ait sim kartın ilgili tarihte bir cihaza takılı olup olmamasının, hattın aktif olduğu hususunu etkilemediği,
Tarafımıza sunulan görüşme dökümlerinden de anlaşılacağı üzere görüşme esnasında ilgili kişiye kimliğinin tespit edilebilmesi için gerekli soruların sorulduğu, ilgili kişinin bu kimlik teyidi aşamasından geçmesinin ardından e-posta güncelleme ve konuşma (arama) dökümünü talep etme işlemlerini gerçekleştirebildiği,

Kimlik teyidi için şikayet sahibine sorulan güvenlik sorularına ve şikayete konu çağrı merkezi görüşmesine ilişkin açıklamalarında;

Abonelerin çağrı merkezi aracılığıyla yapmak istediği işlemleri gerçekleştirebilmeleri için öncelikle kimliklerinin teyit edilmesinin gerektiği, bunun için de abonelerine birtakım güvenlik sorularının sorulduğu, şikayete konu olayın gerçekleştiği 2017 yılında da Şirketin aynı kimlik doğrulama süreci ve güvenlik soruları sorma usulünün bulunduğu, I

Tarafımıza sunulan görüşme dökümünde görüldüğü üzere abone ile görüşmeyi başlatan müşteri temsilcisinin, öncelikle abonenin işlem yapmak istediği GSM numarasını, hemen ardından abonenin talebini öğrendiği, bu talebin üzerine işlem gerçekleştirmek için gerekli kimlik teyidi sürecini başlattığı, bu kapsamda ilgili kişinin kendisine sorulan ilk soruyu doğru cevapladığı, sonraki iki sorudan birini yanlış cevaplayarak ikincisine ise kesin bir yanıt veremediği, bunun üzerine müşteri temsilcisinin ilgili kişiye farklı bir soru (hattın son fatura tutarı) yönelttiği, ilgili kişinin bahsi geçen numaralı hattın son fatura tutarına ilişkin soruya ilk etapta söz konusu hattın ödenmemiş fatura tarihleri ve tutarlarına ilişkin cevap verdiğinden, müşteri temsilcisi abonenin talep ettiği işlemi bayiden de yapabileceğine ilişkin ifadeler kullansa da akabinde ilgili kişinin fatura tutarını doğru şekilde beyan etmesi üzerine müşteri temsilcisi tarafından teyit sürecinin tekrar başlatılarak fatura tutarı ve doğum tarihi bilgilerinin sorulduğu, ilgili kişinin sorulara doğru yanıt verdiği,

Şikayete konu görüşmenin gerçekleştiği tarihte Şirketin çağrı merkezinde kimlik teyidi süreci kapsamında abonenin 2 soruyu doğru bilmesinin gerekmekte olduğu, bu esnada (aynı teyit süresi içerisinde) 1 pas ve 1 yanlış hakkının bulunduğu, ilgili kişinin de aynı teyit süreci içerisinde kendisine yöneltilen iki soruya doğru cevap verdiği, bu kapsamda çağrı merkezinde yapılan tüm bu işlemlerin sürece uygun olarak ilerletildiği,

İlgili kişinin şikayet dilekçesinde müşteri temsilcisinin şikayet sahibi aboneyi bayiye yönlendirdiği, kimliğinden yoğun şüphe duyduğu iddialarına yer verildiği, müşteri temsilcisinin abonenin kimliğinden şüphe duyduğuna dair herhangi bir ifadenin yer almadığı, Şirketin çağrı merkezi süreçlerinde kimlik teyidi için güvenlik sorularının esas alındığı, şikayete konu olayda abonenin kendisine sorulan güvenlik sorularından aynı teyit süreci içerisindeki iki tanesine doğru yanıt verdiği, abonenin kendisine sorulan son güvenlik sorusunu cevaplamaması nedeniyle, aboneye “herhangi bir bayiye gitmesi halinde kendisine yardımcı olunabileceği bilgisi” iletilmiş olsa da henüz buna gerek kalmadan abonenin güvenlik sorusuna konu son fatura tutarı bilgisini paylaştığı, böylece kimlik teyit sürecinin tekrar gerçekleştirilerek tamamlandığı,

Tüm bu açıklamaların, çağrı merkezinde yapılan söz konusu işlemlerin Şirket sürecine uygun olarak ilerletildiğini, Şirketin abone verilerinin güvende tutulması için gerekli önlemleri aldığını ve aboneye özel güvenlik sorularının sorulduğunu gösterdiği, bu bağlamda Şirketin ilgili kişinin talebi üzerine, ilgili kişinin hattına ait konuşma dökümünü, yine ilgili kişinin çağrı merkezi görüşmesi esnasında paylaştığı e-posta adresine iletilmesinin hukuka uygun bir veri işleme faaliyeti olduğu, bu nedenle ilgili kişinin şikayet dilekçesinde yer verilen hukuka aykırı olarak kişisel veri güvenliğinin ihlal edildiği iddialarını kabul etmedikleri,
İlgili kişinin boşanma sürecinde çocuklarının velayetini kaybetmesi, tazminat talep edememesi, nafakalardan mahrum kalması ve maddi-manevi zarar uğradığı hususlarına ilişkin açıklamalarında;

İlgili kişinin boşanma sürecinde iki çocuğunun velayetini, boşanma tazminatı ve nafaka haklarını kaybetmesi ile Şirketin faaliyetleri arasındaki ilişkinin anlaşılamadığı, ilgili kişinin “şirketin hukuka aykırı veri aktarımı gerçekleştirdiği” iddialarını kabul anlamına gelmemekle birlikte; Şirketin ilgili kişiye ait konuşma dökümünü ilgili kişinin talebi üzerine yine kendisinin belirttiği bir e-posta adresine gönderilmesi ile ilgili kişinin boşanma davasında birtakım haklarından yoksun kalması ve/veya bu haklarını kaybetmesi arasında nasıl bir illiyet bağının bulunduğunun açıklanmadığı,

Bu aşamada:
– İlgili kişinin şikayetinde bu hususlara ilişkin olarak detaylı bir açıklaması veya iddiasının bulunmadığının görülmesi, eğer bu tür iddialar mevcut ise de ilgide kayıtlı yazıda Şirkete iletilmemiş olması, dolayısıyla bu iddiaların taraflarına bildirilmemiş olması,
– Ayrica Şirketin herhangi bir faaliyeti sebebiyle şikayet sahibi ilgili kişinin maddi veya manevi herhangi bir zarara uğradığına dair hiçbir kanıt sunulmamış olması,
– Kanun’un 14 üncü maddesinin 3 üncü fıkrası “kişilik hakları ihlal edilenlerin, genel hükümlere göre tazminat hakkı saklıdır” uyarınca ilgili kişinin bu iddialarına dair herhangi bir talebi olması halinde genel hükümlere göre tazminat hakkı araması gerekmesi

sebepleriyle Kurumumuz nezdindeki inceleme kapsamında bu konuya ilişkin savunmalarına yer verilmediği,
Şirketin kişisel verilerinin gizlilik ve güvenliğini sağlamak amacıyla aldığı teknik ve idari tedbirlere ilişkin detayların tarafımıza sunulduğu ifade edilmektedir.

Söz konusu cevabi yazının ekinde ilgili kişi ile Şirket arasında e-posta üzerinden yapılan yazışmaların ekran görüntüleri ve 16.11.2020 tarihli e posta ekinde müşteri hizmetleri ile yapılan görüşmeye ilişkin dökümlere, veri sorumlusu tanıtım formunu ve vekaletname suretine yer verildiği görülmektedir.

Bu çerçevede; kişisel verileri işlenen ilgili kişi, ilgili kişinin Kurumumuza yapmış olduğu başvuruya konu bilgilerinin kişisel iletişim verisi, Veri sorumlusu şirketin müşterilerinin kişisel verilerinin kaydedildiği bir veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olması dolayısıyla veri sorumlusu olduğu değerlendirilmiştir.

İlgili kişinin başvurusunda yer alan talep konusunun ise

A. İlgili kişinin veri sorumlusu telekomünikasyon şirketi tarafından e posta adresinin hukuka aykırı olarak değiştirilmesi ve ilgili kişinin kullanmakta olduğu telefon hattına ait arama dökümünün üçüncü kişilere rızası dışında aktarılması olarak belirlenmiştir.

III. İddia ve Beyanların Değerlendirilmesi

1- Bilindiği üzere Kanunun “Tanımlar” başlıklı 3 üncü maddesinde “ilgili kişi”, kişisel verisi işlenen gerçek kişi: “kişisel veri”, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi: “veri sorumlusu” kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi” ise kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi. depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlanmıştır.

2- Kanunun “Genel İlkeler” başlıklı 4 üncü maddesinde de, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verilmiştir. Bu çerçevede, kişisel veriler ancak,
a) Hukuka ve dürüstlük kurallarına uygun şekilde,
b) Belirli, açık ve meşru amaçlar kapsamında,
c) Doğru ve gerektiğinde güncel olma şartıyla,
ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ve
d) İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme
ilkelerine uygun işlenebilmektedir.

3- Bu ilkelerden, işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi, işlenen verilerin belirlenen amaçların gerçekleştirilebilmesine elverişli olması, amacın gerçekleştirilmesiyle ilgili olmayan veya ihtiyaç duyulmayan kişisel verilerin işlenmesinden kaçınılmasını gerektirmektedir. Ölçülülük ilkesi ise, veri işleme faaliyeti ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması, diğer bir ifadeyle veri işlemenin amacı gerçekleştirecek ölçüde olması demektir. Bu kapsamda, kişisel veri işleme faaliyetinin gerçekleşmesi için gerekli olmayan kişisel veriler toplanmamalı ve/veya işlenmemelidir. Veri sorumlusu amacı çerçevesinde, ölçülülük ilkesine uygun olarak ilgili kişiden minimum düzeyde bilgi talep etmeli bunun dışındaki amaç için gerekli olmayan veri işlemeden kaçınmalıdır. Burada önemle belirtmek gerekir ki, kişisel verilerin işlenmesi ilgili kişinin iznine bağlı olarak gerçekleştirilse ve belirli bir amaca bağlı olsa bile açık rıza, aşırı miktarda veri toplanmasını meşrulaştırmaz. Buna göre kişisel veriler yalnızca belirli amaçlar için ve gerektiği kadar toplanmalı, amacın gerektirdiği yerlerde kullanılmalı ve amaç için gerekli olandan uzun süre tutulmamalıdır.

4- Kanunun “Kişisel verilerin işlenme şartları” başlıklı 5 inci maddesi hükmü “(1) Kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez.
(2) Aşağıdaki şartlardan birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesi mümkündür:
a) Kanunlarda açıkça öngörülmesi.
b) Fiili imkansızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması.
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması.
c) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması. d) İlgili kişinin kendisi tarafından alenileştirilmiş olması.

e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması.

f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması” şeklinde hüküm altına alınmıştır.

5- Diğer taraftan Kanunun 8 inci maddesi “(1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın aktarılamaz.
(2) Kişisel veriler:
a) 5 inci maddenin ikinci fıkrasında,
b) Yeterli önlemler alınmak kaydıyla, 6 ncı maddenin üçüncü fıkrasında,
belirtilen şartlardan birinin bulunması halinde ilgili kişinin açık rızası aranmaksızın aktarılabilir.
(3) Kişisel verilerin aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.’ hükmüyle kişisel verilerin aktarılması düzenlenmiştir.

6- Kanunun “veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesi “(1) Veri sorumlusu;
a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
(2) Veri sorumlusu, kişisel verilerin kendi adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, birinci fıkrada belirtilen tedbirlerin alınması hususunda bu kişilerle birlikte müştereken sorumludur.
(3) Veri sorumlusu, kendi kurum veya kuruluşunda, bu Kanun hükümlerinin uygulanmasını sağlamak amacıyla gerekli denetimleri yapmak veya yaptırmak zorundadır.
(4) Veri sorumluları ile veri işleyen kişiler, öğrendikleri kişisel verileri bu Kanun hükümlerine aykırı olarak başkasına açıklayamaz ve işleme amacı dışında kullanamazlar. Bu yükümlülük görevden ayrılmalarından sonra da devam eder.
(5) İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi halinde. veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi halinde bu durumu, kendi internet sitesinde ya da uygun spreceği başka bir yöntemle ilan edebilir.” hükmünü haizdir.

7- Kanun’un “Kabahatler” başlıklı 18 inci maddesinin birinci fıkrasının (b) bendinde Kanun’un 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verileceği hükme bağlanmıştır.

8- Öte yandan, 5326 sayılı Kabahatler Kanununun 17 nci maddesinin yedinci fıkrasına göre ise, idari para cezalarının her takvim yılı başından geçerli olmak üzere o yıl için 213 sayılı Vergi Usul Kanununun mükerrer 298 inci maddesi hükümleri uyarınca tespit ve ilan edilen yeniden değerleme oranında artırılması gerekmekte olup, bu kapsamda veri sorumlusu hakkında idari para cezası uygulanmasına karar verilmesi halinde, veri sorumlusu tarafından hukuka aykırı veri işlendiği sonucuna varılması halinde söz konusu idari para cezasının şikayete konu veri işleme faaliyetinin gerçekleştiği yıl olan 2017 yılı için % 3,8 olan yeniden değerleme oranıyla değerlenmek suretiyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi çerçevesinde uygulanabilecek idari para cezasının alt limiti 15.574-TL, üst limiti ise 1.038.300-TL olarak hesaplanmaktadır.

9- Kabahatler Kanununun 17 nci maddesinin ikinci fıkrasında “İdari para cezası, kanunda alt ve üst sınırı gösterilmek suretiyle de belirlenebilir. Bu durumda, idari para cezasının miktarı belirlenirken işlenen kabahatin haksızlık içeriği ile failin kusuru ve ekonomik durumu birlikte göz önünde bulundurulur.” hükmü bulunmaktadır.

10- Somut olayda, veri sorumlusundan değişiklik işleminin yapıldığı ses kayıtlarının ilgili kişinin avukatı aracılığı ile taraflarına gönderilmesinin talep edilmesine rağmen veri sorumlusu tarafından söz konusu görüşmenin dökümünün gönderilmesine ilişkin olarak, veri sorumlusunun 14/01/2020 tarihli ve 2020/13 sayılı Kişisel Verileri Koruma Kurulu Kararında yer alan ilgili kişilerin işlenen kişisel verilerine ilişkin bilgi talep etme hakkını da kapsadığı, bu hakkın kullanılmasında veri sorumlusunun kendisinden talep edilen ses kayıtlarına ilişkin kayıt ortamlarının doğrudan ilgili kişiye teslimi suretiyle değil ancak, talep edilen ses kayıtlarının dökümlerine, verilerin içeriğinin ilgili kişi tarafından tam olarak anlaşılmasına imkan tanıyacak şekilde, erişim hakkı sağlanması gerektiğine ilişkin karar dikkate alınarak, ilgili kişinin başvurusuna vermiş olduğu cevapta ilgili kişinin çağrı merkezi ile gerçekleştirdiği görüşmenin dökümüne yer verdiği değerlendirildiğinde veri sorumlusu tarafindan ilgili kişinin kişisel verilerinin işlenmesine ilişkin bilgi talep etme hakkı ve erişim hakkının karşılandığı düşünülmektedir.

11- İlgili kişinin bahsi geçen telefon numaralı hattın iptal edilen bir hat olduğu iddiasına ilişkin olarak; söz konusu hattın 16/04/2015 tarihinde açıldığı ve 06/05/2019 tarihinde iptal edildiği, 24/05/2017 tarihinde ilgili kişi adına Şirket aboneliğinin devam ettiği dolayısıyla söz konusu hattın ilgili tarihte iptal edildiğine dair iddianın gerçeği yansıtmadığı anlaşılmakla birlikte çağrı merkezini arayan kişinin eski olan telefon numarasıyla ilgili doküman almak istediğini söylediği, konuşmanın ilerleyen bölümlerinde çağrı merkezini arayan kişinin bu numara üzerinde o anda telefon kullanmadığı, söz konusu hattı o anda kullanmadığını beyan ettiği, ilgili hattı kızının kullandığını ifade ettiği, bu durumda çağrı merkezini arayan kişinin çağrı merkezini başka bir numaradan aradığı anlaşıldığından, veri sorumlusunun cevap yazısında görüldüğü üzere çağrı merkezinin başka bir kişi tarafından arandığını belirtmesinin somut durumla çeliştiği değerlendirilmektedir.

12- Veri sorumlusu tarafından kimlik teyidi için sorulan güvenlik sorularının yeterli olmadığı bu nedenle Kanunun 12 nci maddesi kapsamında veri güvenliğinin ihlal edildiğine dair iddialara ilişkin olarak, müşteri temsilcisi tarafından çağrı merkezini arayan kişinin işlem yapmak istediği GSM numarasının ve talebinin öğrenilmesi akabinde kimlik teyidi sürecine geçildiği, burada sorulan ilk soru arayan kişi tarafından doğru olarak cevaplanmakla birlikte diğer soruların yanlış ya da kesin olmayan şekilde cevaplandığı görülmektedir. Bunun üzerine müşteri temsilcisinin arayan kişiye hattın son fatura tutarı şeklinde farklı bir soru sorduğu ancak kişinin hattın ödenmemiş fatura tarihleri ve tutarlarına ilişkin cevap vermesi üzerine arayan kişiyi bayiden işlem yapmaya yönlendirdiği, ancak daha sonra arayan kişinin fatura tutarını doğru şekilde beyan etmesi üzerine müşteri temsilcisinin teyit sürecini tekrar başlattığı anlaşılmıştır. Veri sorumlusu tarafından verilen cevapta görüşmenin gerçekleştiği tarihte kimlik teyidi süreci kapsamında abonenin aynı teyit süreci içerisinde 2 soruyu doğru bilmesi gerektiği bu esnada 1 pas ve 1 yanlış hakkının olduğu belirtilerek, arayan kişinin doğum tarihi ve fatura bilgisi olmak üzere 2 soruyu doğru cevapladığı ifade edilmiştir. Somut durumda konuşma dökümü incelendiğinde, arayan kişinin müşteri temsilcisi tarafından sorulan sorulardan sadece herkes tarafından bilinebilecek olan doğum tarihini doğru yanıtlamakla birlikte diğer sorulara yanlış ya da net olmayan cevaplar verildiği, veri sorumlusu Şirketin öngörmüş olduğu kimlik teyidi sürecinin 2 doğru, 1 pas ve 1 yanlış şeklinde 4 sorudan oluştuğu, arayan kişi tarafından sorulan sorulardan doğum tarihinin doğru bilinmesi, hattın halen takılı olduğu cihaz markasına hattın o anda kendisi tarafından kullanılmadığının belirtilmesi, hatt en son takılı cihazın markasının tereddütle söylenmesi, hatta ait tarifenin bilinmemesi, Şirkette başka hat üzerinden aktif aboneliği olduğunu belirtmesine rağmen vermiş olduğu numaranın veri sorumlusu şirkette olmadığı bunun üzerine müşteri temsilcisinin arayan kişiyi işlemi bayiden yapması için yönlendirdiği dikkate alındığında söz konusu durumda toplam 5 soru sorulduğu bunlardan sadece tanesine doğru cevap verildiği anlaşılmaktadır. Burada kimlik teyidi sürecinin bittiği düşünülmekle birlikte arayan kişinin fatura bilgisini söylemesi üzerine süreç yeniden başlatılmıştır. Söz konusu durum çerçevesinde iletişim bilgilerinin değiştirilmesiyle kişilerin bütün kişisel verilerine söz konusu iletişim bilgisi kanalı üzerinden ulaşılabilmesi durumunda çok daha büyük bir veri ihlali ortaya çıkabileceğinden, bu gibi durumlarda Kişisel Veri Güvenliği Rehberi (Teknik ve İdari Tedbirler) kapsamında kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir. Kişilerin kolayca ulaşılmayacağı bilgilerinin iki aşamalı sorgulama ile yapılması gerekli olup, örneğin kişinin TC kimlik numarası ve doğum gün bilgisinin sorgulanarak prism imkanı veren sistemler tek kademeli doğrulama olarak belirlenirken, kişinin TC kimlik numarasının yanı sıra kişiye özel oluşturulmuş şifre ya da kişinin daha önce bildirmiş olduğu telefon numarasına iletilen SMS kodu ile erişim sağlanan sistemler iki kademeli doğrulama olarak kabul edilmektedir. Bu nedenle somut olay kapsamında uzaktan erişim için bir nevi tek kademeli doğrulama yöntemi olan başkaları tarafından da bilinebilecek soruların sorulması veri sorumlusu tarafından Kanunun 12 nci maddesinin (1) numaral fıkrasının (b) bendi kapsamında veri güvenliğine ilişkin yükümlülüklerin yeterince yerine getirilmediği, veri sorumlusunun kişisel verilere hukuka aykırı olarak erişilmesini önlemek yükümlülüğünün ihlal edildiğini göstermektedir.

IV. Kararın Hukuki Dayanağı

6698 sayılı Kanunun 3, 4, 5, 8, 12 ve 18 inci maddeleri.
5326 sayılı Kabahatler Kanununun 17 nci maddesi.

V. Sonuç

Müvekkili adına veri sorumlusu şirket hakkında söz konusu Şirket tarafından kişisel verilerin hukuka aykırı olarak işlendiği ve ilgili kişinin kullanmakta olduğu telefon hattına ait arama dökümünün üçüncü kişilere aktarıldığına dair şikayet başvurusunun incelenmesi neticesinde;

– Müvekkili adına veri sorumlusu şirketten çağrı merkezi görüşme ses kayıtlarının talep edilmesine rağmen veri sorumlusu tarafından sadece görüşme dökümünün gönderilmesi iddialarına ilişkin olarak, söz konusu görüşmenin dökümünün gönderilmesinin hukuka uygun olduğuna,
– Kişisel verilerinin hukuka aykırı olarak işlenmesi ve eski eşine boşanma sürecinde aktarılmasının ilgili kişinin boşanma nedeniyle maddi ve manevi tazminat talep edememesine ve çocuklarının velayetini alamamasına neden olduğu hususuna ilişkin olarak; tazminat taleplerinin Kanunun 11’inci maddesi kapsamında olmadığı ayrıca Kanunun 14 üncü maddesi 3 üncü fıkrası kapsamında kişilik hakkı ihlal edilen ilgili kişinin genel hükümlere göre tazminat hakkını araması gerektiği hususunun ilgili kişiye hatırlatılmasına,

– Veri sorumlusu tarafından kimlik teyidi için sorulan güvenlik sorularının yeterli olmadığı bu nedenle Kanunun 12 nci maddesi kapsamında veri güvenliğinin ihlal edildiğine dair iddialara ilişkin olarak; veri sorumlusu şirket nezdinde kimlik teyit süreci için 4 soru sorulması ve arayan kişinin bunlardan 2 tanesine doğru 1 tanesi pas ve 1 tane yanlış cevaplama hakkı bulunmasına rağmen müşteri temsilcisi tarafından bu sürece riayet edilmediği, ayrıca iletişim bilgisi gibi bir kişinin kişisel verilerinin tamamına erişim sağlayacak bir verinin değiştirilmesi için yalnızca üçüncü kişilerin kolayca erişebileceği bilgilere dayalı bir doğrulama yapılmasının Kanunun 12 nci maddesinin (1) numaralı fıkrasına aykırılık teşkil ettiği kanaatine varılması nedeniyle Kanunun 18 inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 125.000 TL idari para cezası uygulanmasına
karar verilmiştir.

Kaynak:

* Bu içerik tarafımıza “içtihadı geliştir” özelliğimizle iletilmiş olup, kararın içeriğine ilişkin KVKKarar’ın herhangi bir sorumluluğu bulunmamaktadır.

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?