EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

EnglishFrenchGermanTurkish

KVKK Karar » 2022/325

2022/325

07/04/2022

Konu: İlgili kişi ile ilgisi bulunmayan bir işletme adına düzenlenmiş e-faturaların, ilgili kişinin e-posta adresine gönderilmesi hakkında

Kararı Paylaşın

Karar Özeti:

Kurum tarafından incelenen bir şikayette özetle; bir pazarlama şirketinin bölge müdürlüğü yetkilileri tarafından bir market adına düzenlenmiş e-faturaların ilgili kişinin kullanmakta olduğu e-posta adresine 15 defa gönderildiği, ilgili kişinin adına fatura düzenlenen market ile bir ilgisi olmadığı belirtilmiştir. Kurum tarafından yapılan inceleme sonucun damarket sahibi ile ilgili kişinin e-posta adresi benzerliği sebebiyle veri işleyen yetkili satıcı tarafından sehven ilgili kişinin e-posta adresinin sisteme kayıt edilerek herhangi bir kasıt bulunmaksızın işlendiği ve ilgili kişinin faturaların tarafına gönderilmemesi yönündeki talebinin gerekli düzeltme yapılarak yerine getirildiği dikkate alındığında veri sorumlusu pazarlama şirketi hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına, Kurumun 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gçnderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağının veri sorumlusu şirkete hatırlatılmasına karar verilmiştir.

Ceza: İdari Para Cezası Verilmiştir.

İlgili kişinin Kuruma intikal eden şikâyetinde özetle; bir pazarlama şirketinin Trabzon bölge müdürlüğü yetkilileri tarafından bir market adına düzenlenmiş e-faturaların ilgili kişinin kullanmakta olduğu e-posta adresine 13/01/2020 tarihinden 20/04/2020 tarihine kadar on beş kez gönderildiği, ilgili kişinin adına fatura düzenlenen market ile bir ilgisinin bulunmadığı, bu durum çeşitli iletişim kanalları üzerinden söz konusu şirkete bildirilmesine rağmen faturaların tarafına iletilmeye devam ettiği belirtilerek gereğinin yapılması talep edilmiştir.

Konuya ilişkin başlatılan inceleme çerçevesinde pazarlama şirketinden savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Faturaları gönderen yetkililerden birinin önceden şirketlerinin Trabzon eski baş bayisi olduğu ancak Kasım 2018 itibariyle ilişiklerinin kesildiği,
  • İlgili kişinin başvurusunu yönelttiği e-posta adreslerinin bir kısmının domain’inin aktif olmadığı ve name server bilgilerinin şirketlerine ait olmadığı,
  • Sistemlerinde ilgili kişinin e-posta adresine rastlanmadığı, bu nedenle herhangi bir ilişkileri bulunmayan işletme adına düzenlenen ve gerçek kişiye ait herhangi bir bilgi içermemesi nedeniyle kişisel veri ihlali teşkil etmeyecek fatura paylaşımının şirketleri tarafından gerçekleştirilmesinin mümkün olmadığı,
  • Şirketlerinde herhangi bir üyelik sistemi bulunmadığından, doğrudan e-posta adresi ile başvuru yönteminin açık olmadığı ve ilgili kişi tarafından şirketlerine yapılan usulüne uygun bir başvuru tespit edilemediği

ifade edilmiştir.

Bahse konu cevabi yazının incelenmesinin ardından şirketin daha önce Trabzon baş bayisi olan fatura düzenleyen şahıstan şikâyet konusu olaya ilişkin savunması talep edilmiş olup bu kapsamda bahse konu şahıstan alınan cevabi yazıda özetle;

  • Taraflarının adı geçen şirketin bayisi iken başka bir pazarlama şirketine devir teslim işlemi yapılmasının ardından yeni şirket ile bayilik sözleşmesi (yetkili satıcı) imzalandığı,
  • E-fatura sistemine geçildiğinden dolayı, gazete dağıtımı yapan son satıcılardan e-posta ve telefon bilgilerinin güncellenmesinin talep edildiği, bunun üzerine bahsi geçen market tarafından güncellenmesi istenen e-posta adresinin taraflarına, ilgili kişinin adı ile soyadı arasına nokta konulmuş şekliyle (ad.soyad@… şeklinde) iletildiği,
  • Ancak e-posta adresinin, el yazısıyla yazılarak taraflarına iletilmesi nedeniyle sistem üzerinde e-posta adresi kaydı yapılırken bahse konu adresin, ad ve soyadı arasına nokta işareti konulmadan (adsoyad@… şeklinde) kaydedildiği, söz konusu durumun tamamen yanlışlıkla meydana geldiği,
  • Şikâyet konusu olaya ilişkin olarak ilgili kişinin taraflarına ulaşmasının ardından sistemleri üzerinde düzeltme işlemi yapıldığı ve ilgili kişiye e-posta gitmesinin önlendiği

belirtilmiştir.

Bahse konu cevabi yazı incelendiğinde, son satıcı olan bayi bilgilerinin kaydedildiği sistemin yeni sözleşme imzalanan pazarlama şirketine ait olduğunun anlaşılması üzerine söz konusu şirketten de savunması istenilmiş olup alınan cevabi yazıda özetle;

  • Şirketlerinin Türkiye’deki yazılı basın sektörünün tamamına hizmet vermek üzere Türkiye genelinde genel müdürlüğe bağlı bölge müdürlükleri ve bölge temsilcilikleri, bölge müdürlüklerine/temsilciliklerine bağlı yetkili satıcılar ile yetkili satıcılara bağlı son satıcılardan oluşan bir dağıtım ağı oluşturduğu,
  • Şirketleri ile şikâyete konu fatura düzenleyen kişi arasında Temmuz 2018’de dağıtım yetkili satıcı sözleşmesi imzalandığı ve söz konusu kişinin yetkili satıcı olarak atandığı, adına fatura düzenlenen marketin ise söz konusu yetkili satıcının yayınlarının pazarlama, dağıtım ve satışını yaptığı son satıcılardan biri olduğu,
  • Bu ilişkide şirketlerinin yayınları okuyuculara ulaştıran son satıcılar ile herhangi bir sözleşmesel ilişki içerisine girmediği ve son satıcılara yönelik herhangi bir dağıtım, pazarlama ve satış faaliyeti yürütülmediği, bu faaliyetlerin yürütülmesinin yetkili satıcıların uhdesine bırakıldığı,
  • Atanan yetkili satıcılar tarafından yayınların Türkiye geneline dağıtımı, pazarlanması ve satış süreçlerinin sağlanması adına dağıtım bilgi sistemi (DBS) kullanıldığı, yetkili satıcıların DBS’ye tanımlanması ile erişim/kullanım hakkı tanındığı, yetkili satıcının yetkili olduğu il dahilinde yer alan son satıcıları kendi inisiyatifinde olmak üzere belirleyip anlaşma yaptığı ve son satıcılardan elde edilen bilgilerin DBS’ye girilmesi suretiyle son satıcı kayıtlarının yapıldığı,
  • Yetkili satıcıların yalnızca kendileri tarafından kaydedilen bilgilere erişim imkânının bulunduğu, öte yandan son satıcıların DBS’ye herhangi bir erişiminin bulunmadığı,
  • DBS’ye kaydedilen son satıcı bilgilerinin, şirketlerinden bağımsız bir şekilde ve herhangi bir emir veya talimat almadan ya da şirketleri tarafından herhangi bir yönlendirmede bulunulmadan elde edildiği,
  • Yetkili satıcıların söz konusu veriler üzerinde tam bir hâkimiyete sahip oldukları, bu bilgileri kendi inisiyatif ve kararları doğrultusunda kendilerine ait süreçler/faaliyetler dahilinde belirledikleri amaçlar ile işledikleri, gerek gördüklerinde diledikleri gibi değiştirebildikleri ve silebildikleri,
  • Şirketlerinin gerek DBS gerek başka bir vasıtayla yetkili satıcılara ve mevcut ya da potansiyel son satıcılara ilişkin herhangi bir bilgi toplamadığı ve aktarmadığı, dolayısıyla son satıcılara ait herhangi bir iletişim bilgisinin yetkili satıcılara sağlanması gibi bir uygulama bulunmadığı,
  • DBS’ye girilen bilgilerin doğru, güncel ve eksiksiz olma sorumluluğunun son satıcılar ile doğrudan hukuki/ticari ilişki içerisinde bulunan yetkili satıcılara ait olduğu, zira DBS’ye şirket yetkilileri dışında yalnızca yetkili satıcıların doğrudan erişiminin olduğu ve DBS’nin sistem üzerinden son satıcılara ulaşılarak bilgi doğrulaması yapılmasına imkân sağlayacak bir alt yapıda kurulmadığı; ayrıca şirketlerinin yetkili satıcı sözleşmesi ile ilgili mevzuat hükümlerine uygun faaliyette bulunulması ve bu kapsamda gereken tedbirlerin alınması konusunda yetkili satıcılara sorumluluk yüklediği,
  • DBS’nin, sunduğu raporlama imkânı ile yetkili satıcının planlama, dağıtım ve iade operasyonlarını yürütebilmesi bakımından kolaylık sağlandığı ancak yetkili satıcının doğrudan DBS üzerinden resmi bir irsaliye/fatura oluşturmasının mümkün olmadığı, DBS’nin irsaliye/faturaya konu satışın icmalini rapor olarak dökümünü ve resmi irsaliye/faturaya ticari içerik oluşturulmasını sağladığı, bu hususların DBS üzerinden yürütülmesi gibi bir zorunluluğun bulunmadığı,
  • DBS üzerinden doğrudan son satıcılar ile iletişime geçilmesini sağlayan (e-mail gönderimi, fatura gönderimi, irsaliye gönderimi gibi) herhangi bir hizmetin de sunulmadığı, yine herhangi bir üçüncü parti yazılımı (e-fatura, e-arşiv sistemleri, CRM gibi) ile entegrasyonun da bulunmadığı,
  • Şirketlerinin yetkili satıcıların son satıcılar nezdinde yapmış olduğu planlama, dağıtım ve iade operasyonlarını DBS üzerinden takip ettiği, bu operasyonlar dahilinde sisteme girilen satış bilgileri dikkate alınarak tiraj tahminlerini yaptığı, basım, üretim ve planlama süreçlerini yönettiği,
  • Somut olayda da yetkili satıcının markete ilişkin kendi fatura süreçleri dahilinde ve veri sorumlusu olarak işlediği e-posta verisini yaptığı hata sonucu e-fatura hizmeti sistemine hatalı şekilde aktardığı, zira son satıcı bilgilerinin kaydedildiği DBS üzerinden yalnızca ön muhasebe işlemlerinin yapılabildiği, e-fatura işlemlerinin üçüncü taraflara ait sistemler üzerinden gerçekleştirildiği, e-posta adresinin DBS’de girilmesi zorunlu bir alan olmadığı, faturalama sistemine hatalı şekilde girilen kaydın, DBS’ye yapılan hatalı kayıttan ve DBS’nin tetiklediği herhangi bir gönderimden kaynaklanmadığı,
  • Yetkili satıcının, yayınların son satıcılar nezdindeki planlama, dağıtım ve iade operasyonlarını yürütmesi kapsamındaki faturalama süreçlerinde ve dolayısıyla şikâyete konu olay özelinde e-posta verisinin işlenmesi faaliyeti bakımından şirketlerinden bağımsız şekilde ayrı bir veri sorumlusu sıfatı ile hareket ettiği, işlenecek kişisel veriler bakımından emir veya talimat almadığı, e-posta verisinin DBS dahilinde kaydedilmesi gereken zorunlu bir veri dahi olmadığı

ifade edilmiştir.

Konuya ilişkin yapılan değerlendirme neticesinde, Kişisel Verileri Koruma Kurulunun (Kurul) 07/04/2022 tarih ve 2022/325 sayılı Kararı ile;

  • 6698 sayılı Kişisel Verilerin Korunması Kanun’unun (Kanun) “Tanımlar” başlıklı 3’üncü maddesinin (1) numaralı fıkrasının  (ç) bendinde ilgili kişinin, “kişisel verisi işlenen gerçek kişi”, (d) bendinde kişisel verinin, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi”, (e) bendinde kişisel verilerin işlenmesinin, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem”, (g) bendinde “veri işleyen”in veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi, (ı) bendinde veri sorumlusunun, “kişisel verilerin işleme amacını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişi”  olarak tanımlandığı,
  • İlgili kişi, yetkili satıcının ilk sözleşme imzaladığı pazarlama şirketi hakkında Kurul’a şikâyette bulunmuş olmakla birlikte şikâyete konu faturayı düzenleyen kişi ile Kasım 2018 tarihi itibariyle ilişiklerinin kesildiği ve fatura tarihinin Şubat 2020 olduğu göz önünde bulundurulduğunda söz konusu ilk sözleşme imzalanan pazarlama şirketinin veri sorumlusu sıfatını haiz olmadığı,
  • İkinci sözleşme imzalanan pazarlama şirketi tarafından oluşturulan dağıtım ağında ilgili bölgelerde dağıtım, pazarlama ve satış hizmetlerinin sunulması adına aralarındaki sözleşme ile fatura gönderimi yapan kişinin yetkili satıcı olarak yetkilendirildiği, satıcının da bu yetkiye istinaden tüketiciye doğrudan satış ve pazarlama yapılması adına son satıcı olan market ile sözleşme kurduğunun anlaşıldığı,
  • Yetkili satıcı sözleşmesi incelendiğinde yetkili satıcıların; son satıcıların açık isim ve adreslerinin yetkili satıcı dağıtım bilgi sistemine kaydedilmesi, son satıcılara teslim edilen ürünler için fatura düzenlenmesi ve tebliğ edilmesi, dağıtım, pazarlama ve bütün muhasebe işlemlerinde bilgisayar, modem vb. araçları ve ikinci pazarlama şirketinin gerekli gördüğü bilgisayar programlarının kullanılması ve bu bilgilerin tümünün şirketin kullanımına ve denetimine açık tutulması ile yükümlü olduğunun görüldüğü,
  • Fatura işlemlerinin yetkili satıcı tarafından gerçekleştirildiği belirtilmekle birlikte söz konusu işlemlerin ikinci pazarlama şirketi ile yetkili satıcı aralarındaki sözleşmenin yerine getirilmesi amacıyla gerçekleştirildiği, DBS’ye hangi verilerin girişinin yapılacağına ikinci pazarlama şirketi tarafından karar verildiği, şirketin fatura düzenlenmesi ve tebliğ edilmesi sürecinde hangi teknik ve organizasyonel araçların kullanılacağını yetkili satıcının takdirine bırakmış olmasının yetkili satıcı bakımından ayrı bir veri sorumluluğu doğurmayacağı, yetkili satıcının fatura süreçleri kapsamında gerçekleştirdiği işlemlerde sözleşme maddelerinin dışına çıkarak kendi işleme amaçlarını belirlemediği dikkate alındığında ikinci pazarlama şirketinin veri sorumlusu, yetkili satıcının ise bu şirket adına veri işleyen olarak kişisel veri işlediğinin tespit edildiği,
  • Son satıcılara yönelik bilgilerin kaydedildiği DBS’ye, veri işleyen tarafından hizmet verdikleri bir marketin e-posta adresinin, sehven ilgili kişinin e-posta adresi olarak kaydedildiği, bu sebeple son satıcı adına düzenlenen faturaların da ilgili kişiye gönderildiği ve bu hususta e-posta adresi düzeltilerek ilgili kişiye fatura gönderiminin durdurulduğunun anlaşıldığı,
  • Bu çerçevede, veri işleyen tarafından ilgili kişinin e-posta adresinin sehven sisteme kaydedilmesi suretiyle herhangi bir kasıt bulunmaksızın işlendiği ve şikâyete konu durumun düzeltildiği,
  • Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gönderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağı

değerlendirmelerinden hareketle;

  • Şikâyette bulunulan ilk pazarlama şirketinin ilgili kişiye tarafı olmayan faturaların gönderilmesi faaliyetinde herhangi bir ilgisi ve sorumluluğunun bulunmadığı kanaatine varıldığından hakkında yapılacak bir işlem olmadığına,
  • Son satıcı olan market sahibi ile ilgili kişinin e-posta adresi benzerliği sebebiyle veri işleyen yetkili satıcı tarafından sehven ilgili kişinin e-posta adresinin sisteme kayıt edilerek herhangi bir kasıt bulunmaksızın işlendiği ve ilgili kişinin faturaların tarafına gönderilmemesi yönündeki talebinin gerekli düzeltme yapılarak yerine getirildiği dikkate alındığında veri sorumlusu ikinci pazarlama şirketi hakkında Kanun kapsamında yapılacak bir işlem bulunmadığına,
  • Veri sorumluları tarafından kişilerin telefon numarası, e-posta adresi gibi iletişim kanallarına Kanuna aykırı şekilde gönderilen üçüncü kişilere ait kişisel veriler hakkında Kişisel Verileri Koruma Kurulunun 22/12/2020 tarih ve 2020/966 sayılı İlke Kararı kapsamında e-posta gönderilmesi hususunda gerekli teyit mekanizmalarının kurulmasının uygun olacağının veri sorumlusu ikinci pazarlama şirketine hatırlatılmasına

karar verilmiştir.

Kararı Paylaşın

Aynı Sektörde Verilmiş GDPR Kararları

Bu içerik abonelere özeldir

İlgili GPDR Karar Özetlerine Erişmek için Abone Ol!

YORUMLAR

Siz de görüşünüzü belirtin

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Türkçe dilinde GDPR karar özetlerini görmek ister misin?