Kuruma intikal ettirilen bir ihbar dilekçesinde özetle;
- Tüketici finansman kredisiyle alışveriş imkânı sunan Şirketten senetle televizyon alındığı sırada kendisinden e-Devlet şifresinin talep edildiği,
Kuruma intikal ettirilen bir diğer ihbar dilekçesinde ise özetle;
- Şirketin ihbar edenden e-Devlet şifresini istediği, ihbar edenin ısrarlar sonucunda şifre almadığını söyleyerek talebi reddettiği,
- İhbar edenin kendisi dışında birçok vatandaştan da e-Devlet şifrelerinin alındığının bilindiği
hususları belirtilerek 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun) kapsamında gerekli işlemlerin yapılması talep edilmiştir.
Konuya ilişkin başlatılan resen inceleme çerçevesinde ihbar edilen veri sorumlusu Şirketin savunması talep edilmiş olup veri sorumlusunun ilk ihbar dilekçesine ilişkin cevabî yazısında özetle;
- İhbar edenin veri sorumlusu ile tüketici finansman sözleşmesi akdetmiş olduğu, kredi puanı yetersiz görüldüğünden ve işyerinde sigorta girişinin yeni yapıldığını belirtmesi üzerine son altı aylık güncel sigorta hizmet dökümü belgesi ile şubeye müracaat edilmesinin istendiği ve fakat ihbar eden kişi tarafından sözleşmenin iptal edildiği,
- İhbar edenin ürün satın almak için başvuruda bulunduğu, işlem yapmak amacıyla açık rızası ile irtibat numarasını bildirmiş olduğu, Şirketin Tüketici Finansman Kredisi kullanılmasına ilişkin ihbar edenin yeni işe başladığını beyan etmesi üzerine işe başlama kaydının sigorta hizmet dökümü üzerinden teyit edilmesi amacıyla müşterinin en yakın şubeye davet edildiği ve sigorta kayıtlarının beyan edilmesinin talep edildiği, bu bilgilerin e-Devlet sistemi üzerinden temin edileceğinin sabit olduğu, şirketin ihbar edenin e-Devlet şifresini talep etmediği, ilgili kişinin e-Devlet şifresinin bilinmediği, müracaat anında müşterinin sigorta hizmet dökümünü görüntülemek, işe başladığını teyit etmek ve öğrenebilmek adına kendi rızası olduğu takdirde ve kendi cep telefonundan kendisinin görebileceği şekilde e-Devlet üzerinden talep edilen kayıtların gösterilmesinin talep edildiği, müşteri/ihbar edenin ilgili kayıtları paylaşmadığı ve sözleşmenin iptalini talep ettiği,
- İhbar edenin kişisel verilerinin işlenmesinin gerekçelerinin ise; şirketin hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, tüketici sözleşmesinin kullanımı açısından sigorta hizmet dökümü bilgisinin talep edilmesinin zorunluluğu, bir hakkın tesisi, kullanılması veya korunması için bilgi talebi olması, şirketin meşru menfaatleri için bilgi talebinin gerekli olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla sözleşmenin taraflarına ait bilgi talebinin gerekli olması olduğu
belirtilmiştir.
Aynı konuya ilişkin veri sorumlusu Şirketin ikinci ihbar dilekçesine ilişkin cevabî yazısında ise özetle;
- Somut olayda ihbar edenin veri sorumlusu ile taksitli satış sözleşmesi akdettiği, sonrasında bozuk olan ürün yerine yeni ürünün ilgili kişiye teslim edildiği, ardından bu üründe de arıza olunca ürün satış işleminin iptal olduğu ve ücret ödemesinin ihbar edene iade edildiği,
- Veri sorumlusunun, ilgili mevzuat çerçevesinde yükümlülüklerini yerine getirmek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almış olduğu,
- Müşterilerden/ilgili kişilerden e-Devlet şifresi talep edildiği yönündeki iddiaların gerçek dışı olduğu, veri sorumlusunun Kanun gereğince, tüketici işlemleri sırasında herhangi bir veri tutmadığı; kimlik aslının ve iletişim bilgilerinin ilgili kişilerden kontrol amacıyla alındığı ve yapılan kontrollerin ardından kimlik aslının geri verilip suretinin dahi sistemlerde kayıt altına alınmadığı,
- İddia edildiği gibi e-Devlet şifresi ile taksitli satış sözleşmesi arasında bir illiyet bağının olmadığı, e-Devlet şifresi ile satış sözleşmesi arasında birbiri ile ilişkili bir işlemin söz konusu olmadığı, e-Devlet şifresi ile yapılacak bir işlemin de bulunmadığı,
- Kişisel verilerin korunması ve işlenmesi konusunda azami düzeyde teknik ve idari tedbirleri alan veri sorumlusunun, e-Devlet gibi kişiye ait özel bir alanı kullandığı iddiasının Şirket politikası ve uygulamaları ile ters düşeceği, bu açıdan hiçbir müşteriden herhangi bir şifre talep etme durumunun söz konusu olmadığı, somut durumlar karşısında Şirket açısından herhangi bir cezai yaptırım oluşturabilecek bir durumun söz konusu olmadığı
belirtilmiştir.
Konuya ilişkin yapılan inceleme neticesinde, Kişisel Verileri Koruma Kurulunun 22/03/2023 tarihli ve 2023/426 sayılı Kararı ile;
- Kişilerin kendilerine ait ad-soyadı, iletişim numarası gibi tüketici işlemlerinde kullanılan bilgilerin veri sorumlusunun veri kayıt sisteminde işlenmesinden ötürü, Kanunun 2’nci maddesinde yer alan hüküm dikkate alındığında Kuruma yapılan ihbarların Kanun kapsamında olduğu,
- Kanunun 3’üncü maddesinin birinci fıkrasının (ç) bendi gereği Şirket’in veri kayıt sisteminde kişisel verileri tutulan ihbarda bulunanların ilgili kişi, (ı) maddesi gereği ilgili kişilerin kişisel verilerinin işlenme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin tutulmasından ve yönetilmesinden sorumlu tüzel kişi olan Şirket’in ise veri sorumlusu olduğu,
- Kişisel verilerin işlenme şartlarının Kanun’un 5’inci maddesinde düzenlendiği; buna göre maddenin birinci fıkrasında; kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında -Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması hallerinden birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğunun düzenlendiği,
- İlgili kişinin Kuruma sunduğu ihbar dilekçesinde Şirketten senetle televizyon alındığı ve kendisinden e-Devlet şifresinin talep edildiğinin ifade edildiği, başvuru ekinde yer alan ve Şirket tarafından ilgili kişinin cep telefonu numarasına gönderildiği anlaşılan kısa mesajda “E-devlet şifreniz ile beraber en yakın şubemize gelmenizi rica ederiz. (Sipariş no, kayıt tarihi:16.01.2022, ürünler başlıkları ile)” ifadelerinin yer aldığının görüldüğü,
- Veri sorumlusunun savunmasında; ihbar edenin Şirket ile tüketici finansmanı sözleşmesi akdetmiş olduğu, kredi puanı yetersiz görüldüğünden ve işyerinde sigorta girişinin yeni yapıldığını belirtmesi üzerine son altı aylık güncel sigorta hizmet dökümü belgesi ile şubeye müracaat etmesinin istendiği ve ilgili kişi tarafından sözleşmenin iptal edildiği, tüketici sözleşmesinin kullanımı açısından sigorta hizmet dökümü bilgisinin talep edilmesinin zorunlu olduğu, bu bilgilerin e-Devlet sistemi üzerinden temin edileceği, e-Devlet şifresinin talep edilmediği, müracaat anında müşterinin sigorta hizmet dökümünü görüntülemek, işe başladığını teyit etmek ve öğrenebilmek adına şifreyi kendi rızası olduğu takdirde ve kendi cep telefonundan kendisinin görebileceği şekilde e-Devlet üzerinden girmek suretiyle talep edilen kayıtların gösterilmesinin istendiği, ilgili kişinin kayıtları paylaşmadığı ve sözleşmenin iptalini talep ettiği hususlarını belirtmiş olduğu,
- İlgili kişi ve veri sorumlusunun beyanları ile Kuruma sunulan belgelerden; ilgili kişinin veri sorumlusu ile tüketici finansmanı (kredisi) sözleşmesi yaptığı, ilgili kişiye iletilen kısa mesajda ilgili kişinin e-Devlet şifresi ile beraber şubeye çağırıldığı, ilgili kişinin ise e-Devlet şifresinin kullanılmasına yönelik rızası olmadığından sözleşmeyi iptal etmek istediğinin anlaşılmakta olduğu,
- Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen tüm kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek buna uygun tedbirlerin alınması gerektiği, bu riskler belirlenirken kişisel verilerin özel nitelikli kişisel veri olup olmadığı, mahiyeti gereği hangi derecede gizlilik seviyesi gerektirdiği, güvenlik ihlali halinde ilgili kişi bakımından ortaya çıkabilecek zararın niteliği ve niceliğinin dikkate alınması gerektiği, bu risklerin tanımlanması ve önceliğinin belirlenmesinden sonra söz konusu risklerin azaltılması ya da ortadan kaldırılmasına yönelik kontrol ve çözüm alternatiflerinin maliyet, uygulanabilirlik ve yararlılık ilkeleri doğrultusunda değerlendirilmesi ve gerekli teknik ve idari tedbirlerin planlanarak uygulamaya konulması gerektiği,
- Bununla birlikte Kişisel Veri Güvenliği Rehberi’nde veri sorumlularınca alınabilecek idari tedbirlerin; “kişisel veri işleme envanteri hazırlanması, kurumsal politikalar (erişim, bilgi güvenliği, kullanım, saklama ve imha vb.), sözleşmeler (veri sorumlusu-veri sorumlusu, veri sorumlusu-veri işleyen arasında), gizlilik taahhütnameleri, kurum içi periyodik ve/veya rastgele denetimler, risk analizleri, iş sözleşmesi, disiplin yönetmeliği (kanuna uygun hükümler ilave edilmesi), kurumsal iletişim (kriz yönetimi, kurul ve ilgili kişiyi bilgilendirme süreçleri, itibar yönetimi vb.), eğitim ve farkındalık faaliyetleri (bilgi güvenliği ve kanun), veri sorumluları sicil bilgi sistemine (VERBİS) bildirim” şeklinde örnek teşkil etmesi amacıyla ifade edildiği,
- Bu kapsamda, ihbara konu edilen e-Devlet şifresi istenmesi beyanına ilişkin gerek resen inceleme kapsamındaki ihbarlar gerekse veri sorumlusuna ilişkin kamuya açık kaynaklarda yer alan şikayetler ele alındığında veri sorumlusunun kişisel veri işleme faaliyetlerinin kontrolünü sağlayamadığına, dolayısıyla gerekli teknik ve idari tedbirleri almadığına ilişkin güçlü bir kanaat oluştuğu, bilhassa senetli alışverişlerde müşterilerin e-Devlet şifrelerinin temin edilmesi suretiyle ilgili kişilerin e-Devlet kapısında yer alan kendileriyle ilgili her türlü bilgiye veri sorumlusunca erişilebilme tehlikesi ile karşı karşıya kalacakları; ayrıca veri sorumlusunun ihbara konu olayda veri güvenliğinin sağlandığına yönelik yeterli bilgi ve belgeyi de sunamadığı,
- Öte yandan veri sorumlusunun e-Devlet şifrelerinin talep edilmesine ilişkin savunmasında, bir taraftan ilgili kişiler ile akdettiği tüketici kredisi sözleşmesi sebebiyle işe başlama kaydının sigorta hizmet dökümü üzerinden teyit edilmesi amacıyla müşteriyi en yakın şubeye davet ettiğini belirtirken diğer taraftan e-Devlet şifresi ile taksitli satış sözleşmesi arasında bir illiyet bağının olmadığını, e-Devlet şifresi ile satış sözleşmesi arasında birbiri ile ilişkili bir işlemin söz konusu olmadığını, e-Devlet şifresi ile yapılacak bir işlemin de bulunmadığını ifade etmiş olduğu,
- Resen inceleme kapsamındaki iki dosyaya ilişkin veri sorumlusunca -aynı konu kapsamında- Kuruma sunulan bilgi ve belgelerin bütünlük ve tutarlılık içinde olmadığı, kişisel verilerin işlenmesi suretiyle kurulan sözleşmelere ilişkin hususların Kanun kapsamında ifade edilemediği,
- Veri sorumlusu tarafından yürütülen veri işleme faaliyetlerinde ilgili kişilerden e-Devlet şifresi talep edilmesine ilişkin kamuoyuna yansıyan çok sayıda şikayet olduğu, resen inceleme dosyalarında veri sorumlusu tarafından e-Devlet şifresi hakkında sunulan beyanların da birbiri ile tutarlı bir çerçevede olmadığı, veri sorumlusunun ülkemizde çok sayıda mağazası olan – tüketici finansman kredisiyle alışveriş imkânı sunan/taksitle satış yapan- bir şirket olduğu, Kuruma sunulan ihbarlar dışında taksitli satışlarda ilgili kişilerden e-Devlet şifresi istendiğine ilişkin şifahi bilgiler de edinildiği, e-Devlet şifresinin ele geçirilmesi durumunun veri güvenliğine yönelik ciddi riskler ortaya çıkarabileceği hususlarının tümünün idari teknik tedbirleri alma noktasında eksikliği olduğu kanaatine varılan veri sorumlusu hakkında uygulanacak idari yaptırımda artırım sebepleri olarak ele alınabileceği,
- İnternette yer alan açık kaynaklarda, veri sorumlusundan yapılan taksitli alışverişlerde ilgili kişilerin e-Devlet şifrelerinin alındığına dair pek çok şikayet olduğunun görülmesi, konuya ilişkin Kuruma da intikal eden farklı şikayetler olması, e-Devlet şifrelerinin talep edildiği her olayda tüm müşterilerin e-Devlet şifrelerini kendi telefonlarından açıp göstermesinin söz konusu olmayabileceği dikkate alındığında Şirket bilgisayarları aracılığıyla görüntüleme yapılmış olmasının mümkün olduğu
değerlendirmelerinden hareketle;
- İlgili kişilerin e-Devlet şifrelerine erişim sağlandığı yönünde güçlü bir kanaat oluştuğu, ilgili kişilerin e-Devlet şifreleri talep edilerek hassas nitelikli olanlar da dahil pek çok kişisel veriye erişim sağlanabileceği sonucuna varıldığından veri sorumlusundan yapılan taksitli alışverişlerde e-Devlet şifrelerinin talep edilmesinin Kanun’un 5’inci maddesinde yer alan herhangi bir veri işleme şartına dayanmaması nedeniyle Kanun’un 12’nci maddesinin (1) numaralı fıkrasında yer alan yükümlülüklerini yerine getirmediği değerlendirilen veri sorumlusu hakkında Kanun’un 18’inci maddesinin (1) numaralı fıkrasının (b) bendi uyarınca 400.000 TL idari para cezası uygulanmasına,
- Hukuka aykırı işlendiği değerlendirilen kişisel verilerin Kanun’un 7’nci maddesi ile Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca imha edilerek sonucundan Kurula bilgi verilmesine
karar verilmiştir.