İlgili kişinin Kuruma intikal eden dilekçesinde özetle;
- Veri sorumlusu şirketin sunduğu hizmetlerden biri olan çevrimiçi alışveriş platformu üzerinden gerçekleştirdiği alışveriş ile ilgili olarak, uygulamaya girdiği kredi kartı bilgilerinin ve sipariş teslimatı için verilen iletişim -cep telefonu numarası- bilgisinin 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) uyarınca veri sorumlusundan talep edildiği,
- Ancak, kredi kartı üzerinde yazan isim bilgisinin veri sorumlusuna ait sistemlerde tutulmadığı ve siparişe ilişkin telefon bilgisinin kendisiyle paylaşılmasının uygun olmadığı gerekçesiyle söz konusu talebin veri sorumlusu tarafından reddedildiği ancak savcılık kararının bulunması halinde ilgili kişiyle bu bilgilerin paylaşılabileceğinin belirtildiği,
- Platform üzerinden gerçekleştirilen alışverişlerde her ne kadar ilgili banka sayfasına yönlendirme yapılsa da kredi kart bilgileri alanının ödeme aşamasının başında veri sorumlusunun internet sayfası üzerinden doldurulduğu ve kredi kartı bilgilerinin isteğe bağlı olarak kaydedilebildiği, bu sebeple kredi kartı bilgilerinin veri sorumlusunun sisteminde tutulmadığı iddiasının gerçeği yansıtmadığı, aydınlatma metninde internet sitesi/mobil uygulamalar üzerinden alışveriş yapanın/yaptıranın kimlik bilgilerini teyit etme ve bu kişiyle iletişim kurmak amaçlarıyla adres ile diğer gerekli bilgilerinin kaydedilmesi suretiyle kişisel veri işlendiğinin belirtildiği,
- Kayıt altına alındığı beyan edilen bilgilerin sisteme kayıtlı kullanıcı e-postası ve telefon yoluyla talep edilmesine rağmen bu bilgilerin kendisiyle paylaşılmamasının Kanun’a aykırı olduğu
ifade edilerek Kanun kapsamında gereğinin yapılması talep edilmiştir.
Söz konusu iddialara ilişkin başlatılan inceleme çerçevesinde veri sorumlusundan savunması istenilmiş olup alınan cevabi yazıda özetle;
- İlgili kişinin platform üzerinden alışveriş yapabilmesi için kart bilgilerini girmesi gerektiği, daha sonraki alışverişlerinde kullanmak istemesi halinde kredi kartı bilgilerini kaydedebileceği, buna karşın kredi kartını kaydetmeyi seçse dahi veri sorumlusunun kredi kartı bilgilerine ilişkin verilerin tamamına erişemediği, PCI DSS Level-1 Sertifika uyumluluğu bulunması nedeniyle ilgili kişilerin ödeme yaptıkları kredi kartı bilgilerinin veri sorumlusu sistemlerinde maskeli olarak tutulduğu,
- İlgili kişinin somut olaya konu üç adet siparişten 53……8 ve 53……4 numaralı siparişlerin ilgili kişinin üyelik hesabıyla yapıldığı, 54…..8 numaralı siparişin ise ilgili kişinin üyelik hesabından yapılmadığı ve bu siparişin başka bir üyenin hesabından yapıldığının tespit edildiği, yazı ekinde 54……8 numaralı siparişin başka bir kişiye ait olduğunu tevsiken ekran görüntüsünün sunulduğu,
- Öte yandan bazı durumlarda üyelik hesabından yapılan işlemlerde üçüncü kişilere ait isim, soy isim ve telefon numarası bilgilerinin verildiği; somut olayda da 53…..8 ve 53…..4 numaralı siparişlerin ilgili kişinin üyelik hesabından yapılmasına rağmen üçüncü bir kişinin adı, soyadı ve telefon numarası bilgilerinin verildiğinin anlaşıldığı, bu bağlamda talep konusu siparişlerin üçüncü kişilere ait olması ve veri sorumlusu bünyesinde kredi kartı bilgilerinin bulunmaması nedeniyle ilgili kişinin talebinin yerine getirilmediği,
- İlgili kişinin üyeliği ile yapılan iki alışverişte üçüncü kişiye ait isim, soy isim ve telefon numarası bilgilerinin bulunmasının; aynı üyelik hesabının eş, anne, baba, kardeş gibi birden fazla kişi tarafından ortak kullanılması, üyenin kendi şifresini başka bir üçüncü kişiyle paylaşması, üyenin hediye almak istediği üçüncü kişinin teslimat bilgilerini teslimat amacıyla sisteme eklemesi gibi ilgili kişinin bilgisi dâhilindeki nedenlerden kaynaklanabileceği gibi başka bir cihazdan giriş yaptığı hesabını kapatmadan çıkması, üyelik hesabı oluşturduğu farklı platformlarda hep aynı şifreyi kullanması gibi ihmallerden kaynaklanabileceği,
- Kanun’un 11’inci maddesinde vurgulandığı üzere ilgili kişilerin “kendisiyle ilgili” kişisel verilere ilişkin bilgi talep etme hakkının olduğu, dolayısıyla veri sorumlusunun, üçüncü kişinin kişisel verisine ilişkin olarak ilgili kişiye herhangi bir bilgi verme yükümlülüğünün bulunmadığı,
- Ortak hesap kullanan kişilerin daha sonra ihtilaflı hâle geldiği durumların, örneğin ortak hesap kullanan eşlerin siparişlere ilişkin bilgi talebinde bulunduğu durumların yaşanabildiği göz önünde bulundurularak ilgili kişi taleplerinin hassasiyetle incelendiği ve ilgili kişinin hakkında bilgi talep etmiş olduğu sipariş kendi üyelik hesabından yapılsa dahi alışverişin başka bir kişi tarafından yapıldığı tespit edilmişse bilgi paylaşmama konusunda titizlikle hareket edildiği,
- Öte yandan kredi kartı numarası bilgilerine uluslararası güvenlik standartları nedeniyle maskeli olarak erişim sağlanabilmesi nedeniyle bu bilgileri paylaşmasının mümkün olmadığı, ilgili kişinin talep ettiği kart üzerindeki isim ve soy isim bilgisinin ise veri sorumlusu nezdinde maskeli olarak dahi saklanmadığı,
- İlgili kişinin, üyelik hesabından yapmış olduğu kendisine ait siparişlere yönelik bilgi talebinde bulunması halinde çağrı merkezi doğrulama soruları aracılığıyla bu talebinin karşılanabileceği, ilgili kişinin taleplerini yerine getirmemek adına değil yalnızca mevzuat hükümleri ve veri güvenliği tedbirleri doğrultusunda yanıt verildiği,
- İlgili kişinin bilgisi dışında bir işlem olması ihtimali göz önünde bulundurularak bu konu hakkında yetkili mercilere başvurması yönünde kendisine bilgi verildiği ve ilgili kişinin üyelik hesabının güvenlik nedeniyle işleme kapatıldığı,
- İlgili kişinin talebinin Kanun’un 11’inci maddesi kapsamında olmadığı, ilgili kişilere verilecek yanıtın Kanun’un diğer hükümlerine aykırılık teşkil etmesi hâlinde veri sorumlusunun Kanun’un 13’üncü maddesi uyarınca reddetme hakkının olduğu
ifade edilmiştir.
Konuya ilişkin yapılan incelemede, Kişisel Verileri Koruma Kurulunun 07/07/2022 tarih ve 2022/653 sayılı Kararı ile;
- Kanun’un “Tanımlar” başlıklı 3’üncü maddesinde “kişisel veri”nin, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi; “ilgili kişi”nin, kişisel verisi işlenen gerçek kişi, “veri sorumlusu”nun kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi; “kişisel verilerin işlenmesi”nin kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem olarak tanımlandığı,
- Kanun’un “Genel İlkeler” başlıklı 4’üncü maddesinde, kişisel verilerin ancak bu Kanun’da ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işleneceği hükme bağlandıktan sonra, kişisel verilerin işlenmesinde uyulması zorunlu ilkelere yer verildiği, buna göre, kişisel verilerin ancak; a) hukuka ve dürüstlük kurallarına uygun olma, b) doğru ve gerektiğinde güncel olma, c) belirli, açık ve meşru amaçlar için işlenme, ç) işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ile d) ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkelerine uygun işlenebileceği,
- Kanun’un “Kişisel Verilerin İşlenme Şartları” başlıklı 5’inci maddesinin (1) numaralı fıkrasında kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, (2) numaralı fıkrasında ise kanunlarda açıkça öngörülmesi, fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması ve ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması şartlarından birinin varlığı hâlinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerin işlenmesinin mümkün olduğu hükümlerinin yer aldığı,
- Ayrıca, Kanun’un “İlgili kişinin hakları” başlıklı 11’inci maddesinde, ilgili kişilerin haklarının sıralandığı, bu maddede “Herkes, veri sorumlusuna başvurarak kendisiyle ilgili;
a) Kişisel veri işlenip işlenmediğini öğrenme,
b) Kişisel verileri işlenmişse buna ilişkin bilgi talep etme,
c) Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme,
ç) Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme,
d) Kişisel verilerin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme,
e) 7’nci maddede öngörülen şartlar çerçevesinde kişisel verilerin silinmesini veya yok edilmesini isteme,
f) (d) ve (e) bentleri uyarınca yapılan işlemlerin, kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
g) İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme,
ğ) Kişisel verilerin kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme haklarına sahiptir.”
hükümlerine yer verildiği,
- Somut olayda veri sorumlusu tarafından sunulan Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (Payment Card Industry –PCI- Data Security Standard –DSS-) Servis Sağlayıcıları Yerinde İncelemesi için Uygunluk Tasdiki (Attestation Of Compliance –AOC- For Onsite Assessments Service Providers) belgesinde yer aldığı üzere mobil ödeme teknolojisi sağlayıcısı aracı şirket tarafından; kartın fiziksel olarak bulunmadığı işlemlerin, tacirlerden veya müşterilerden alınarak üye iş yeri anlaşması yapan kuruluşa (acquirer) yönlendirildiği, aynı zamanda müşterilere dijital cüzdan hizmeti sağlandığı, kart hamili verisinin sistemlerinde saklandığı, GSM numarasının müşterileri benzersiz olarak tanımladığı,
- Mobil ödeme teknolojisi sağlayıcısı aracı şirketin 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun kapsamında bir ödeme hizmeti sağlayıcısı olmadığı, üye iş yeri için kart bilgilerini saklama ve sonraki ödemeler için saklanan bilgilerin kullanılmasına izin veren bir hizmet sağladığı,
- Banka Kartları ve Kredi Kartları Hakkında Yönetmelik’in 27/A maddesinin beşinci fıkrası hükmü uyarınca hassas ödeme verisinin üye işyerine (somut olayda veri sorumlusuna) hiç iletilmemesinin gerektiği; ayrıca ödeme teyidinin yapılması amacıyla bir veri gönderilmesi gerekmesi hâlinde ise hesap numarası veya hassas ödeme verisi yerine her ödeme için oluşturulan farklı bir token iletilerek daha sonraki ödemeler için oluşabilecek risklerin ortadan kaldırılabileceği,
- Mobil ödeme teknolojisi sağlayıcısı aracı şirketin hizmet sözleşmesi incelendiğinde üye işyeri ile hassas kart verisinin paylaşılmayacağının beyan ve taahhüt edildiği, kart bilgisi görüntüleme ve silme işlemleri dahil olmak üzere kart saklama hizmetinin ilgili şirket tarafından sağlandığı ve veri sorumlusunun hassas kart bilgilerine sahip olmadığının anlaşıldığı, nihayetinde ilgili kişinin kart bilgilerine erişim talebinin veri sorumlusu tarafından karşılanamayacağı,
- İlgili kişinin Kanun’un 11’inci maddesinin (1) numaralı fıkrasının (b) bendi kapsamında siparişe ilişkin bilgi talebinin reddedilmesine ilişkin olarak; telefon numarasına ilişkin talebinin “ilgili kişinin kendisiyle ilgili olması” kriteri çerçevesinde incelendiğinde, kişisel verilerin aynı anda birden fazla kişiyle ilgili olmasının mümkün olduğu, ilgili kişinin teslimatı için verilen iletişim adresi üçüncü kişiye ait olsa da ilgili kişinin üyelik hesabından yapılan alışverişle ilgili olarak söz konusu telefon numarasının aynı zamanda ilgili kişiye ilişkin olduğu,
- Avrupa Veri Koruma Kurulu’nun (EDPB) “İlgili Kişi Hakları- Erişim Hakkı Üzerine 01/2022 sayılı Rehber” ilkelerinde; ilgili kişinin, münhasıran başkasını ilgilendiren veriler hariç olmak üzere, yalnızca kendisiyle ilgili kişisel verilere erişme hakkına sahip olduğu, bununla birlikte verilerin ilgili kişiye ilişkin kişisel veri olarak sınıflandırılmasının, bu kişisel verilerin başka biriyle de ilgili olmasına bağlı olmadığının ifade edildiği, “kendisiyle ilgili kişisel veriler” ifadesinin kapsamının “çok kısıtlayıcı” yorumlanmaması gerektiğinin tavsiye edildiği, ayrıca rehberde kişisel verilerin hane halkı kapsamında işlenmesine yönelik istisna hükmünün kapsamına girmeyen haller için ilgili kişinin sağladığı kişisel veriyi başka amaçlarla kullanması halinde, ilgili kişinin kendisinin de veri sorumlusu olarak nitelendirilebileceği ve veri sorumlusunun bu konuda diğer ilgili kişiyi bilgilendirmesi gerektiğinin ifade edildiği, bu çerçevede söz konusu rehber ilkeler ile erişim hakkının sınırları hakkında yapılacak değerlendirmede;
– Hak ve özgürlükler üzerinde olumsuz bir etkisi olup olmadığı (diğer bireyler için risk olasılığı ve riskin öneminin değerlendirilmesi)
– Başkalarının hak ve özgürlüklerinin, ilgili kişinin hakkına üstün gelip gelmediği
dengesi temel alınarak eğer kişisel verilere erişim hakkı çözümsüzlüğünde, örneğin bir ses kaydını yalnızca transkriptinin sağlanması gibi uygun formatta kişisel verilere erişim hakkı tanınarak uzlaşılması veya böyle bir uzlaşma sağlayacak bir yöntem bulunmadığı durumda, diğer kişinin hak ve özgürlüklerinin olumsuz etkilendiği ve kişisel verilere erişim hakkına üstün geldiği sürece ilgili kişiye erişim hakkının sağlanmamasının tavsiye edildiği,
- Somut olayda, veri sorumlusu tarafından teslimat için verilen iletişim adresinin farklı olması nedenleri arasında;
– Bir üyeliğin birden fazla kişi (aile üyeleri gibi) ile ortak kullanılması,
– Üyenin şifresini başka kişiyle paylaşarak üyelik hesabını kullanması,
– Hediye almak istediği üçüncü kişi bilgilerini teslimat amacıyla sisteme eklemesi,
– Kimlik veya hesap hırsızlığı
hususlarının sayıldığı, ayrıca veri sorumlusu tarafından üçüncü kişinin kişisel verisine ilişkin ilgili kişiye herhangi bir bilgi verme yükümlülüğünün bulunmadığının belirtildiği,
- Veri sorumlusunun platformu üzerinden üyelik hesabına giriş yapıldığında halihazırda verilen siparişin teslimatının yapılacağı kişinin bilgileri kapsamında üçüncü kişinin ismi, soy ismi ve adres bilgisine ulaşılabildiği, yalnızca telefon numarasının yıldızlanarak maskelendiğinin anlaşıldığı; somut olayda ilgili kişinin üyelik hesabından verilen siparişin teslimatı için bildirilen telefon numarasının
– Üçüncü kişinin hak ve özgürlükleri üzerinde olumsuz bir etkisinin olup olmadığı (üçüncü kişi için risk olasılığı ve riskin öneminin değerlendirilmesi),
– Üçüncü kişi hak ve özgürlüklerinin, ilgili kişinin erişim hakkına üstün gelip gelmediği
arasında bir denge kurulmak suretiyle ilgili kişinin kişisel veriye erişim hakkının üstün geldiği kanaatine varılması halinde, ilgili kişinin üyelik hesabından verilen siparişlerde teslimat için bildirilen telefon numarasının, ilgili kişinin makul gerekçesi bulunması ve erişim talebiyle ilişkili dolandırıcılık riski bulunmaması şartıyla veri sorumlusu tarafından ilgili kişinin kimliğini doğrulayacak mekanizmalar aracılığıyla ilgili kişiye sağlanması gerektiği,
- Öte yandan, ilgili kişinin üyelik hesabı kullanılmaksızın verilen üçüncü siparişin ilgili kişi dışında üçüncü kişinin üyelik hesabından yapıldığı veri sorumlusunun sunduğu deliller ile kanıtlandığı dikkate alındığında, ilgili kişinin kişisel verisi olmaması nedeniyle kişisel verilere erişim hakkı kapsamında veri sorumlusu tarafından söz konusu siparişin teslimatı için verilen telefon numarasının ilgili kişiye sağlanamayacağı
değerlendirmelerinden hareketle;
- İlgili kişinin kredi kartı bilgilerinin mobil ödeme teknolojisi sağlayıcısı aracı şirket bünyesinde tutulduğu dikkate alındığında veri sorumlusu hakkında bu açıdan yapılacak bir işlem olmadığına,
- Üyelik hesabından giriş yapıldığında verilen siparişin teslimatının yapılacağı kişinin bilgileri kapsamında halihazırda üçüncü kişinin isim, soy ismi ve adres bilgisine ulaşabildiği, telefon numarasının ise maskeli olarak gösterildiği dikkate alındığında, ilgili kişinin erişim talebinin gerekçesinin makul olması ve bu talep ile bağlantılı dolandırıcılık riski bulunmaması halinde üçüncü kişinin hak ve özgürlüklerinin ilgili kişinin kişisel veriye erişim hakkına üstün gelmediği kanaatine varıldığından, ilgili kişinin üyelik hesabından verilen siparişlerin teslimatı için bildirilen telefon numarasının kimlik doğrulama mekanizmaları aracılığıyla ilgili kişiye sağlanması yönünde veri sorumlusunun talimatlandırılmasına,
- İlgili kişinin üyelik hesabı kullanılmaksızın verilen diğer siparişin ilgili kişi dışında üçüncü kişinin üyelik hesabından yapıldığının veri sorumlusunun sunduğu deliller ile kanıtlandığı dikkate alındığında, şikayetçinin kişisel verisi olmaması nedeniyle söz konusu siparişin teslimatı için verilen telefon numarasının ilgili kişinin erişim hakkı kapsamında bulunmadığı kanaatine varıldığından bu hususta veri sorumlusu hakkında yapılacak herhangi bir işlem bulunmadığına
karar verilmiştir.